Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks

De melding vanmiddag van Odido dat bij de recente hack 'aanvullende gegevens zijn getroffen' betreft gevoelige informatie over kwetsbare klanten. Die gegevens zijn in handen van afpersers, die dit toonden aan de NOS. Odido wist van niets en werd door de NOS hierover geïnformeerd.

De NOS kreeg van hackersgroep Shinyhunters een dataset met gestolen gegevens van 10.000 Odido-klanten. Daaruit blijkt dat de uitvoerders van de aanval begin deze maand meer in handen hebben dan eerst bekend én dat het om zeer gevoelige informatie gaat. Zo bevatten de 'aanvullende gegevens', waar Odido geen details over geeft, recente e-mails aan klanten en ook privacygevoelige aantekeningen over klanten.

Die aantekeningen in het gehackte klantcontactsysteem lopen uiteen van instructies om extra op te letten omdat de ex van een klant zich voordeed als die klant, tot notities als 'gaat door een moeilijke periode' en 'Klant lijkt onder invloed te zijn tijdens het bellen. Is door winkel (...) uit de zaak verwijderd en heeft gedreigd daar de boel kort en klein te slaan'. Verder is in de gegevens te zien welke klanten een bewindvoerder hebben en dus onder curatele staan, meldt de NOS.

In de dataset van 10.000 klanten die de NOS inzag, staat bij zeker 266 mensen een aantekening en bij 128 mensen is er sprake van een bewindvoerder. Dit betekent dat die klanten ernstige financiële problemen hebben.

Odido onwetend

Odido geeft tegenover de NOS toe dat het niet wist dat deze extra informatie in handen was van de aanvallers. Daarom liet de provider dit niet weten. Na de melding door de NOS plaatste Odido vanmiddag een melding op zijn informatiepagina: dat er 'aanvullende gegevens zijn getroffen'. "Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen", aldus de korte boodschap. Het onderzoek van Odido naar de hackaanval loopt nog en het Nederlandse Openbaar Ministerie stelt ook een onderzoek in.

Odido-datalek

Door Jasper Bakker

Nieuwsredacteur

Feedback • 25-02-2026 18:22 194

25-02-2026 • 18:22

194

Lees meer

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update
Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Meer producten en artikelen
Bedrijfsnieuws Politiek en recht Privacy Betaling Cybercrime Cybersecurity Klantenservice NOS Odido problemen Telecom

Reacties (194)

-Moderatie-faq
194
187
73
11
0
93
Wijzig sortering

Sorteer op:

Weergave:
gertvdijk 25 februari 2026 20:02
De zelfgekozen codewoorden om telefonisch te authenticeren (ingevoerd als optie bij destijds T-Mobile in 2021) zijn ook gelekt. Ik had dit dus aangezet en mensen aangeraden dat ook in te stellen ter vookoming van telefonische phishing/simswap attacks. Mocht je dat ook ooit hebben gedaan, zorg dan dat alle andere wachtwoorden die hierop lijken dat je die ook verandert.
Wat er wél is gelekt, is een veld uit het klantcontactsysteem met de naam “password_c”. Ondanks deze naam gaat het niet om een wachtwoord, maar om een zogenoemd challenge word of codewoord. Dit werd gebruikt als extra controlevraag wanneer een klant telefonisch contact opnam. Dit codewoord geeft geen toegang tot accounts, diensten of persoonlijke gegevens en staat volledig los van de systemen waarin klanten inloggen.

Voor een beperkte groep klanten stond zo’n extra codewoord geregistreerd. Zodra we hoorden dat deze codewoorden in het lek voorkwamen, is de telefonische verificatie op basis van deze codewoorden direct stopgezet.
van https://www.odido.nl/veiligheid (onderaan bij Q&A, uitklappen)
Reageer
ezra070 @gertvdijk25 februari 2026 20:07
Dank je voor je headsup!
Reageer
J-D @gertvdijk25 februari 2026 21:31
Ah goed om te weten.
Jouw tweet verwijst nog naar het t-mobile.nl; voor de geïnteresseerde is dit volgens mij het artikel op odido.nl:
https://community.odido.nl/diensten-en-services-571/ik-wil-een-extra-wachtwoord-toevoegen-ter-beveiliging-331445
Hoe kan ik regelen dat ook op mijn aansluiting een wachtwoord wordt toegevoegd?

Je kunt een wachtwoord als volgt aanvragen:
• via e-mail
• door een brief te sturen naar T-Mobile Klantenservice BV, Postbus 16272, 2500 BG Den Haag
• of door binnen te lopen in een Odido Shop

Vermeld bij je aanvraag je naam, volledige adres, mobiele nummer en het gewenste wachtwoord.

Let op! Het wachtwoord moet aan de volgende 3 voorwaarden voldoen:
1. het wachtwoord is maximaal 12 tekens lang
2. het wachtwoord mag geen getallen bevatten
3. het wachtwoord mag niet 'ja', 'nee' of 'geen' zijn
Wel mooi dat je het ook nog kan regelen door een brief te sturen naar T-Mobile Klantenservice BV :+
Reageer
gezoutenpinda 25 februari 2026 18:32
Toch bijzonder allemaal....

Dat er van uit gaande dat ze binnenkwam met medewerkers accounts, uit ervaring bij KPN weet ik dat er trigger afgaat wanneer je klantenprofielen opent waar je niets te zoeken hebt en dit meerdere keren gebeurd. Werd direct in mijn training aangesproken hierop toen ik mijn ouders hun account erbij pakte en op de gevolgen. Ook waren er regelmatig neppe mails om te checken of we op linkjes zouden drukken.


Ook kun je in het gebruikte crm van odido gewoon limieten aangeven en een boel dichtkaderen.... dit klinkt echt als mismanagement door mensen met de verkeerde ervaring op de verkeerde plekken.


Persoonlijk maak ik me er niet zo druk om, is het niet via odido dan is het wel via andere partijen waarbij mijn data uitlekt of uitgelekt is.
Reageer
hiostu @gezoutenpinda25 februari 2026 18:46
Het kan natuurlijk zijn dat ze initieel binnen zijn gekomen via medewerker account, maar dat ze daarna op andere manieren hun rechten hebben kunnen verhogen en zo met meer permissies exports konden draaien. Als dit niet het geval is, dan moet ik je wel gelijk geven en lijkt het erop dat medewerkers al teveel en makkelijk kunnen zien.
Reageer
Calypso @hiostu25 februari 2026 18:56
Theoretisch heb je gelijk. Echter, als via een klantenservice medewerker dat soort rechten te verkrijgen/uit te delen zijn, dan heb je nog steeds een flink probleem...
Reageer
marco-ruijter @Calypso25 februari 2026 19:05
Ik denk dat er zelfs een nog groter probleem is: als iemand zonder security officer- of engineer-rechten toch rechten kan aanpassen. Ik vind het echt absurd dat er geen alarm is afgegaan toen er onder één account zoveel data werd ingelezen of opgevraagd. Ik heb bij genoeg, zelfs veel kleinere bedrijven gezeten waar het opvragen van meer dan vijf klantgegevens al tot een blokkade leidde en er direct een alert naar de betreffende managers werd gestuurd.

Natuurlijk kan het voorkomen dat een agent meerdere klantgegevens per dag moet inzien, maar alsnog geen honderden, laat staan 6,5 miljoen.

Als er bepaalde data verzameld moest worden, dan moest daar echt een officiële opdracht voor worden ingediend. Bovendien was het slechts gedurende een zeer beperkte periode mogelijk om een uitdraai te maken. Zulke aanvragen konden alleen worden gedaan namens specifieke personen binnen de organisatie en met de juiste autorisatie.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 19:08]

Reageer
YGDRASSIL @marco-ruijter25 februari 2026 19:55
kan ook zijn dat ze een database backup hebben weten te bemachtigen. Heb je weinig permissies meer nodig om alle data in te zien...
Reageer
marco-ruijter @YGDRASSIL25 februari 2026 20:08
Als je te maken hebt met een database waarin gevoelige data staat, en het betreft zelfs meer dan 6,5 miljoen klanten, dan is het maken van unencrypted backups op zijn minst zeer zorgwekkend te noemen. Daarnaast zorg je er als fatsoenlijke IT-afdeling voor dat je in het ontwerp van de data en databases Tokenization of Pseudonimisering toepast.

De database waarin de daadwerkelijke persoonsgegevens staan, zou nooit zomaar gekopieerd moeten kunnen worden, laat staan in de vorm van unencrypted backups.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 20:09]

Reageer
PdeBie @Calypso25 februari 2026 19:02
Misschien zat er wel een bug in het systeem dat het niet uitmaakte welke rol je had, zolang het maar een account betrof. Allemaal speculaties. Security was niet op orde en daarmee is er een hoop data gestolen.
Reageer
hiostu @Calypso25 februari 2026 19:09
Stap 1 is binnen komen in een omgeving en daarna mogelijk via exploits in systemen hogere permissies krijgen. Dat is een vrij normale gang van zaken voor hackers. Dat is dus ook niet volgens de normale gang van zaken.
Reageer
latka @hiostu25 februari 2026 19:53
Aangezien odido niet wist wat er gestolen was is de logging al ondermaats. Zou me niets verbazen als iedere gebruik admin rechten heeft in een dergelijke security unaware omgeving.
Reageer
PixelPionier @Calypso25 februari 2026 19:04
Tel daarbij op dat ze zich ook gewoon niet aan zo iets simpels als bewaartermijnen hebben gehouden en je weet dat het 1 groot mismanagement verhaal is.
Reageer
FiberSam 25 februari 2026 18:29
ok, wat vinden jullie?

- Betalen, want de klanten en hun privacy moet beschermd worden.
- Niet betalen, want dit zijn criminelen en het wordt dan alleen maar erger.
Reageer
MaltheseFalcon @FiberSam25 februari 2026 19:06
Wat mij betreft moet het wettelijk verboden worden om te betalen bij afpersing. Dit gaat niet meer om alleen Odido, maar ook om de langetermijngevolgen wanneer je als maatschappij bereid bent om criminelen te belonen voor hun activiteiten.
Reageer
johanneslol @MaltheseFalcon25 februari 2026 21:25
Laat me raden het gaat niet om jou data die er tussen zit? Ik vind dit persoonlijk echt heel erg dat er zoveel gelekt is en dat ze nog doen alsof het ze niks interesseert
Reageer
Malarky @hbvdh25 februari 2026 20:37
Verschil met ontvoering is dat je gelijk kan oversteken. Bij een digitiale aanval betaal je aan een anoniem iemand in ruil voor een belofte. De belofte de gegevens niet nu en niet later te publiceren en de belofte de data niet alsnog voor veel geld aan andere kwaadwillenden te verkopen.

Oftwel, betalen levert echt weinig op.
Reageer
Huuruun @Malarky25 februari 2026 21:04
Dat kan je als groep precies een keer doen voordat niemand je meer betaalt... Ze hebben er net zo goed belang bij dat bij betaling de data niet verder wordt verspreid.

[Reactie gewijzigd door Huuruun op 25 februari 2026 21:04]

Reageer
66JustMe819 @FiberSam25 februari 2026 18:44
Als Odido klant zeg ik betalen. Risico voor de klanten minimaliseren zou prioriteit moeten hebben.
Reageer
SunnieNL @66JustMe81925 februari 2026 18:58
Nee, hackers groepen financieren zodat ze hierna bv kon kunnen gaan aanvallen. Dat klinkt als een goed idee. De data ligt op straat. Betalen heeft geen zin.
Als odido risico wilt minimaliseren dan moeten ze verzekeringen voor hun klanten afsluiten.
Reageer
marco-ruijter @SunnieNL25 februari 2026 19:53
Zo een verzekering vereist echt wel bepaalde security en infrastructurele maatregelen waarbij de kans vrij groot was geweest dat de omvang van nu nooit had plaatsgevonden.
Reageer
SunnieNL @marco-ruijter25 februari 2026 21:27
Geen verzekering voor odido maar voor de klanten die geraakt zijn. Een verzekering die jouw helpt als jij te maken krijgt met identiteitsfraude door dit lek. Dus als er ineens een rekening voor 40 Ferrari's op je deurmat valt, die je dan helpen met de juridische kant om dat weer ongedaan te maken. Zaken die normaal je veel tijd en stress (en vaak ook geld) kost.
Reageer
asset185 @66JustMe81925 februari 2026 19:05
Ik denk dat de directie eerder gevoelig is voor de balangen van hun investeerders dan van hun klanten.
Reageer
Mizgala28 @66JustMe81925 februari 2026 18:51
Ik snap de mensen die zeggen "niet betalen" deels wel... maar 8 miljoen mensen hun gegevens is extreem.

Betalen, zo'n hack groep wil geld verdienen en je niet aan de afspraken houden bijt hun op ten duur terug (want waarom betalen als ze niks wissen)

En ja ik snap dat meeste mensen dan zeggen "en wie houdt ze tegen om het niet te wissen na een betaling?", antwoord is niemand behalve hunzelf intern.

En dan is zo'n lid die de fout maakte waarschijnlijk het ergst mogelijk vanaf.
Reageer
hbvdh @Mizgala2825 februari 2026 19:51
Ook bij betalen word er meestal niet gewist. Vaak verspreiden (verkopen) ze dan toch nog wat data wat niet rechtstreeks aan de hack zelf te linken is.

Wat mijzelf betreft hb ik een dubbel gevoel, aan de ene kant misdaad moet niet lonen, aan de andere kan ook mijn gegevens zijn gelekt. Gelukkig voor mij heb ik mijn ID en Rijbewijs vorig jaar vernieuwd maar mijn bank niet. Ik zou ook niet weten welke ik gebruikt heb bij het aanvragen van mijn abonnement.
Het zou mijn inziens ook mogelijk moeten zijn dat je dat terug kan zien bij je mijn odido gegevens.
Reageer
Russel88 @FiberSam25 februari 2026 18:34
Wat denk jezelf?

Als jij de dief bent en Odido betaalt je. Wat weerhoudt je dan om de gegevens alsnog te verkopen?
Reageer
MennoE @Russel8825 februari 2026 18:36
Dat je bij de volgende diefstal je niet betaald krijgt.
Reageer
phYzar @MennoE25 februari 2026 19:00
Alsof ze een langlopende reputatie hebben. Had jij al eens van de Shinyhunters gehoord? Volgende keer noemen ze zichzelf de GreasyFarmers en betaalt de volgende sukkel weer het volle pond.
Reageer
FiberSam @phYzar25 februari 2026 19:30
eeuh... dit is een bekende en al lang bestaande hackerscollectief die juist heel hard heeft gewerkt aan een 'goede' (ahum) reputatie. Als je betaalt, vernietigen ze alles. Juist precies omdat door deze reputatie men eerder geneigd is te betalen. Dit net zo goed een zakelijk verdienmodel als crimineel.
Reageer
Malarky @FiberSam25 februari 2026 20:39
Natuurlijk vernietigen ze het niet. Ooit, misschien dit jaar al doen ze een finale exit scam en verkopen ze alle gegevens alsnog. Het zou totaal onlogisch zijn als ze deze gegevens vernietigd hebben. Dat zouden zelfs jij en ik niet doen als hackers zijnde.

Enige wat ze qua reputatie niet doen is het nu niet verkopen.

[Reactie gewijzigd door Malarky op 25 februari 2026 20:40]

Reageer
StroopP @phYzar25 februari 2026 19:03
Heeft u ook een vertaling?
Reageer
asset185 @phYzar25 februari 2026 21:02
Feit is wel dat je niet meer kunt vertrouwen of je gegevens niet door iemand misbruikt worden.
Wanneer Odido wel betaald kan er nog steeds van alles met je gegevens gebeuren.

Niet betalen geeft zo of zo een groot drama. Bijna de helft van de Nederlanders zit in het lek. En al deze mensen moeten om maar 1 ding te noemen hun bankrekening in de gaten houden op onterechte afschrijvingen.
Reageer
MaikVeritas @Russel8825 februari 2026 18:39
Ik heb wel eens gelezen dat dit soort hackers groepen zich juist houden aan de afspraken omdat anders hun verdienmodel verwijnt.
Reageer
SunnieNL @MaikVeritas25 februari 2026 18:56
Niets weerhoud dit soort hackers groepen de data te bewaren of onder water door te verkopen aan een andere groep. Niet te bewijzen, niet terug te tracen.

Dat ze het niet openbaar maken wilt niet zeggen dat bv een ander onderdeel van diezelfde groep gewoon de mensen in de dataset gaat benaderen met phishing berichten.
Reageer
Jerie @MaikVeritas25 februari 2026 19:03
Yep, maar de vraag is welke groep erachter zit, en onder welke jurisdictie ze vallen. Bij een bekende groep geldt jouw stelling. Een onbekende groep heeft geen naam hoog te houden, en een Russische groep kan het ook verkopen aan Russische diensten. Qua Rusland is alle data zo'n beetje te koop op darknet, ook van FSB medewerkers, en dat is te betalen met cryptocurrency. Zo kun je van nagenoeg iedere Rus privégegevens verkrijgen.

Dus de vraag moet je 'betalen ja of nee' kun je niet eenvoudig beantwoorden. Wat is het geëiste bedrag, hebben ze een legacy, waar zitten de hackers, hoe willen ze de betaling ontvangen, is het systeem nu dicht of krijg je copycats? Hoe dan ook wil je tijd kopen. Tijd om een en ander uit te vogelen want van eerdergenoemde vragen zal men niet per definitie openheid geven. Dus zul je dat moeten onderzoeken.

[Reactie gewijzigd door Jerie op 25 februari 2026 19:06]

Reageer
Mizgala28 @Russel8825 februari 2026 18:41
Niks

Maar als je geld wil verdienen als een hackgroep ben je er beter van af als je alles wel verwijdert na een betaling, dan zijn bedrijven eerder geneigd om te betalen omdat "die hackgroep het dan echt gaat verwijderen".

Liegen levert zo'n hackgroep sowieso niks op.
Reageer
Robbierut4 @FiberSam25 februari 2026 18:35
Als Odido klant, niet betalen maar dat geld investeren in betere beveiliging. Beetje mosterd na de maaltijd maar toch.
Reageer
familyman @Robbierut425 februari 2026 18:54
Als niet odido klant wiens gegevens al heel lang geleden verwijderd hadden moeten zijn, haalt het me niks uit.

Die club moet opgeheven worden.
Reageer
R_Zwart @familyman25 februari 2026 18:59
Dat laatste klinkt altijd stoer maar hie ga jij reageren als er iets goed fout gaat bij jouw werkgever en de boel miet worden opgeheven en jij zonder iets op straat staat? Er werken duizenden mensen bij Odido die hun baan kwijtraken als je de boel naar gewoon gaat sluiten.
Reageer
familyman @R_Zwart25 februari 2026 19:09
Opbreken en verplaatsen naar bedrijven die de data bescherming wel op orde hebben.

En er is best een berg mensen bij odido die een berg boter op hun hoofd hebben, voor een deel zelfs randje crimineel wat mij betreft.

Verder, er zijn banen zat. Dus mensen die niet crimineel zijn, en niet boter hun hoofd hebben, komt het wel gled.

[Reactie gewijzigd door familyman op 25 februari 2026 19:10]

Reageer
PixelPionier @FiberSam25 februari 2026 19:02
Er zou gevangenisstraf voor de directie op moeten staan als ze betalen. Dan zou Nederland een stuk veiliger worden voor dit soort criminelen.
Reageer
brammerd21 @PixelPionier25 februari 2026 19:36
Eens, als je als hackers groep vooraf weet dat een afpersing niet gaat lukken, hoef je daarvoor ook niet je best te gaan doen.


Data via andere middelen verkopen blijft natuurlijk een oplossing, maar kennelijk is dat de makkelijkste of meest winstgevende.
Reageer
Upr0ar @FiberSam25 februari 2026 19:59
Inmiddels is bekend dat het 'losgeld' om een half miljoen euro gaat.

Voor de omvang van deze hack vind ik dat een 'steal'. Verbaast me zelfs dat ze zo relatief weinig vragen.

Niet dat ik zoveel geld heb. :+ Maar voor een bedrijf als Odido is dat peanuts. Dus ik zeg betaleng - de mogelijke schade die eruit kan voortvloeien als alle gegevens op het darkweb gemieterd worden, ligt vele malen hoger.

Maar iets zegt mij dat Odido dat niet gaat/wil ophoesten.

[Reactie gewijzigd door Upr0ar op 25 februari 2026 20:00]

Reageer
MineTurtle @FiberSam25 februari 2026 20:51
Niet betalen. Zolang mensen en bedrijven zich af blijven laten persen, blijft het voor criminelen lucratief om dit soort praktijken te voeren. Met dat geld kan vervolgens weer andere criminaliteit gefinancieërd worden.

[Reactie gewijzigd door MineTurtle op 25 februari 2026 20:51]

Reageer
n00bs 25 februari 2026 18:25
SCHANDELIJK! dat je dergelijke gegevens opslaat in vermoedelijk een ticketsysteem. Totale onkunde, ik baal dat ik mij heb laten overhalen met goede verhalen over Odido na jarenlang een professionele Ziggo.

Zodra ik kan is mijn contract opgezegd bij Odido
Reageer
dutchgio @n00bs25 februari 2026 18:31
Op zich juist logisch om dat bij een ticket te vermelden en je dus ook terug kunt lezen bij andere cases van dezelfde persoon. Alleen komt het nu slecht uit nu het gelekt is.
Reageer
hmartino @n00bs25 februari 2026 18:27
Hoe zou dit dan wel moeten? Je moet het toch ergens noteren?
Reageer
Stukfruit @hmartino25 februari 2026 18:31
Wat denk je van: niet noteren?

Dit zijn gegevens die een telecomprovider niet hoeft op te slaan om hun functie uit te kunnen voeren. Het zijn geen psychologen.
Reageer
gezoutenpinda @Stukfruit25 februari 2026 18:36
Niet? Het is fijn om een oogopslag te zien met wie je te maken hebt en ook wanneer iemand een lastigere periode heeft en dus wat vervelender kan zijn aan de telefoon dan gemiddeld. Dan kun je er rekening mee houden, niet alles is altijd ten nadele van een klant. Ook om een klant te beschermen en als medewerker niet overrompeld te worden als je wel een grote b*k krijgt van een klant aan de telefoon. Ook met klanten met een bewindvoerder zijn er verschillende regels waardoor dit stukje sowieso cruciaal is. Zou niet de bedoeling moeten zijn dat iemand die onder bewind staat telefonisch een nieuwe telefoon zou moeten kunnen bestellen en nog dieper in de schulden raakt.


Ik snap je mening hier over, maar het hoeft echt niet altijd ten nadele van een klant te zijn.
Reageer
Student1563424 @gezoutenpinda25 februari 2026 18:45
Het mag simpelweg niet...

AVG – Artikel 5, lid 1, onder c (minimale gegevensverwerking):
Persoonsgegevens moeten:

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
Verder
Artikel 5, lid 1, onder b – doelbinding
Artikel 5, lid 1, onder f – integriteit en vertrouwelijkheid
Artikel 5, lid 2 – verantwoordingsplicht
Artikel 6 – rechtmatigheid van de verwerking
Artikel 9 – bijzondere categorieën persoonsgegevens
Artikel 10 – strafrechtelijke veroordelingen en strafbare feiten
Artikel 25 – gegevensbescherming door ontwerp en door standaardinstellingen
Artikel 32 – beveiliging van de verwerking

[Reactie gewijzigd door Student1563424 op 25 februari 2026 18:57]

Reageer
R_Zwart @Student156342425 februari 2026 19:05
Als informatie nodig is voor uitvoering van het werk dan mag het wel. En een werkgever heeft ook nog zorgplicht voor de medewerkers. Dan moet je bijvoorbeeld ook aggresief gedrag van klanten vastleggen. Het heeft dus een nut en dan mag he het opslaan. Zolang je maar beschrijft.
Reageer
jinx857 @R_Zwart25 februari 2026 20:59
Medewerkers die je aan de telefoon krijgt zitten in het buitenland.
Reageer
mschol @Student156342425 februari 2026 19:15
noteren of er mogelijk misbruik gemaakt wordt of kan worden is best een goede reden om functioneel te blijven en je taak uit te voeren (misbruik voorkomen of tegen gaan is ook een taak van een telecomprovider)
moeilijke periode idem: uitwerking kan zijn dat er een slechte betaling is, voorkomen dat iemand in de schulden raakt, ook belangrijk.


als we echt zo zakelijk gaan zijn als enkele hier willen, dan is het hek van de dam en kan je niks meer als bedrijf om je klanten tegemoet te komen in vreemde situaties, klanten gaan vervolgens heel bot worden en dit levert meer aggressie op en nog meer gezeik..
in de basis is de AVG goed, maar sommige delen slaan echt volledig door( of mensen die vinden dat het volledig door moet slaan)
Reageer
gezoutenpinda @Student156342425 februari 2026 18:52
AVG was er nog niet voor een gedeelte van de uitgelekte gegevens (even los van het feit dat ze de gegevens niet zo lang hoefden te bewaren en alle juridische dingen en termen... Ben geen jurist, maar spreek uit ervaring als medewerker)

Als je kijkt naar AVG en wat er daadwerkelijk gebeurd ga je huilen (ik reageer niet vaak op artikelen, maar hoevaak zie je voorbij komen dat de AVG niet nageleefd wordt en er vervolgens op bedrijfsniveau geen donder mee gebeurd behalve een waarschuwing en soms een kleine boete).


Dat iets niet mag betekend niet dat iets niet gebeurd.
Reageer
asset185 @gezoutenpinda25 februari 2026 19:12
Die zorg had ik dus al en bij deze wordt die dus bevestigd door iemand die dit werk uit voert. Tja, alles staat of valt bij de handhaving. En die schiet gewoon tekort. En de gevolgen als ze gepakt worden zijn te klein.
Reageer
R4gnax
@gezoutenpinda25 februari 2026 21:17
AVG was er nog niet voor een gedeelte van de uitgelekte gegevens (even los van het feit dat ze de gegevens niet zo lang hoefden te bewaren en alle juridische dingen en termen... Ben geen jurist, maar spreek uit ervaring als medewerker)
Er was bij het ingaan van de AVG een verplichting om opnieuw toestemming aan klanten te vragen hun persoonsgegevens te mogen blijven verwerken op op z'n minst aan de informatieverplichtingen te gaan voldoen, door klanten in te lichten over welke gegevens van hen nog opgeslagen waren. (Opslag an sich is al doorlopende verwerking.)

De verplichting tot zo'n rapportage te leveren heb je sowieso als er een inzageverzoek komt, dus dat moet je als bedrijf kunnen faciliteren - want je hebt er in voorkomend geval al een wettelijke plicht toe.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:19]

Reageer
hcQd @Stukfruit25 februari 2026 18:33
Niet noteren op te letten voor een wraakzuchtige ex, daar zal de klant ook niet blij van worden.
Reageer
Somoghi @hcQd25 februari 2026 18:38
Dat betekent dat de klant vragen gesteld moeten worden om de identiteit of te verbinding te identificeren. Van mijn part: u heeft tv, welke zender staat nu aan. En zet hem nu op kanaal 3. Of ga met uw laptop naar site odido.nl/auth en geef code 12345 in. Iets waarbij duidelijk is dat het werkelijk de klant is die belt of toegang heeft tot een apparaat of verbinding van odido.
Reageer
R_Zwart @Somoghi25 februari 2026 19:03
En het andere voorbeeld dat wordt genoemd? Als iemand onder invloed lijkt en een medewerker uitscheld of erger, dan wil je dat toch opslaan. Sterker nog, je moet dat opslaan om een dossier voor een eventuele aanklacht tegen die persoon te kunnen indienen. En verder heel praktisch: als je bijzondere zaken niet opslaat gaan klanten klagen als ze iedere keer hetzelfde verhaal moeten vertellen
Reageer
Somoghi @R_Zwart25 februari 2026 19:08
Het mag simpelweg niet worden opgeslagen, onder geen beding. Zoals elders ook al gezegd. Je zult dus beter je best moeten doen om erachter te komen dat je daadwerkelijk de klant aan de lijn hebt. Ik denk dat het klanten na dit debacle wel duidelijk is waarom dit gebeuren moet.
Als je toch de keuze maakt om dit op te slaan, doe dat zodanig dat onder geen beding, bij wat voor dump ook, deze gegevens mee kunnen komen. Maar dan kies je dus bewust om de wet naast je neer te leggen.

Als je aan dossieropbouw wilt doen, doe je dat niet centraal in het crm, maar bij het dossier. De klant mag gerust nogmaals bellen, gaat ie weer over de schreef, gespreksopnames en notitie direct door naar de juridische afdeling voor dossieropbouw.

[Reactie gewijzigd door Somoghi op 25 februari 2026 19:12]

Reageer
gaskabouter @Somoghi25 februari 2026 21:21
En hoe vindt die dossieropbouw dan plaats? En welk dossier heb je het dan precies over? En waar sla je dat dan op? En hoe licht je de klant in dat er een dossier wordt opgebouwd?

Je stelt dat het onder geen beding mag worden opgeslagen maar wel een dossier moet opbouwen?

Ik snap best je punt maar ik zie geen kwade intenties tot zover (niet gebeld worden omdat je in een slechte periode zit is best klantvriendelijk). Alleen belabberde uitvoering
Reageer
R4gnax
@R_Zwart25 februari 2026 21:12
Dossieropbouw voor klanten die over de schreef gaan, kun je (en dus- dankzij dataminimalisatieprincipes, moet je) ook in een besloten systeem doen. Dat hoeft niet in een centraal CRM systeem te staan waar alle supportmedewerkers inzicht in hebbn.

Als een klant aan de telefoon begint te schreeuwen kan, indien ze het zo bont maken dat vervolgstappen gewenst zijn, de gespreksopname daarvan met een verslag van de situatie direct richting de juridische afdeling. Zij kunnen dan een dossier beginnen te bouwen binnen een afgesloten omgeving waar enkel juridische medewerkers in kunnen, en indien nodig terug contact opnemen met de supportmedewerker om verdere informatie in te winnen over het geheel.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:13]

Reageer
Keypunchie
@hcQd25 februari 2026 19:14
Maar waarom zoveel detail?

Waarom niet een simpel vlaggetje “extra identiteitscontrole vereist”
Reageer
007Nightfire @Stukfruit25 februari 2026 18:55
Tegelijkertijd kan het ook onderdeel zijn van een menselijke maat voeren. Als iemand altijd betrouwbaar is geweest als klant, maar nu even een moeilijke periode doorgaat, dan kan dat misschien een reden zijn om net iets soepeler te zijn. Is dat niet juist ook wat we willen? Uiteindelijk is het de klant die dit zelf heeft verteld en het staat niet tot in detail beschreven. Dat het gelekt is en daar weinig over bekend wordt gemaakt is wat mij betreft het probleem, niet dat ze dit soort informatie hebben genoteerd.
Reageer
jinx857 @007Nightfire25 februari 2026 21:04
Ik vind het toch raar dat ze zoiets noteren.
O mevrouw zit nu in een dip. Hoi daar rekening mee... As ls ik in een dip zit(bv) ga ik echt niet naar odido bellen en zeggen, hou even rekening met me, ik zit in een dip. Waarom? Uitstel van betaling of zo? gaat toch via auto incasso..ik vind het gek. Of ze werken erbij als hulpverlener ofzo..
Reageer
n00bs @hmartino25 februari 2026 18:29
Je hoort en mag dergelijke gegevens niet opslaan! wanneer een klant een kut periode heeft of zich achterlijk gedraagt aan de telefoon of in de winkel is het niet aan een telecomprovider zich deels als agent op te stellen!


het mag simpelweg niet! -> Artikel 9 van de AVG

[Reactie gewijzigd door n00bs op 25 februari 2026 18:33]

Reageer
Powerblast
@n00bs25 februari 2026 18:34
Het is wel wat dubbel vind ik. Pas op de ex doet zich voor als… is toch ook een beetje je eigen medewerkers en je klanten beschermen voor misbruik. Iemand die de boel kort en klein slaat wil je ook wel ergens noteren. Of de volgende winkel medewerker heeft voor het zelfde geld een blauw oog. Ik keur niet alle opmerkingen goed, maar ze moeten toch ergens bewaard worden.

Geen idee wat de wet hierover zegt, maar het zou me niet verbazen dat dit gewoon toegestaan is.


Denk persoonlijk dat ze bij odido er beter vanuit gaan dat alles op straat ligt.

[Reactie gewijzigd door Powerblast op 25 februari 2026 18:36]

Reageer
n00bs @Powerblast25 februari 2026 18:39
Ja ik snap je punt, ik richt zelf dergelijke systemen in dus ik neem aan dat ik weet waar ik het over heb.
Vroeger was dit inderdaad geen punt en werden dergelijke gegevens vaak in "helpdesk-systemen" opgeslagen als aantekening bij klanten of zelfs in tickets. Maar die wetgeving is allang gewijzigd en je mag dit niet opslaan. En anders zal je echt bij bij gods gratie uitzondering moeten aanvragen en goed onderbouwen. Ik geloof werkelijk niet als ik de rest van de communicatie zie, dat Odido dit ooit heeft gedaan.
Reageer
asset185 @n00bs25 februari 2026 18:51
Gelukkig dat dit niet meer is toegestaan. Want wat heeft een internetprovider er mee nodig dat Pietje door een moeilijke periode gaat? Dat Jantje dronken over komt aan de telefoon? En dat Klaasje een winkelverbod bij een of andere telefoonwinkel heeft.

Als ik nu naar de klantenservice zou bellen op dit moment gaan ze dan loggen dat verkouden ben omdat ik zo klink?


Het zijn stuk voor stuk gegevens waar ze niks mee nodjg hebben en wat ook niet meer opgeslagen mag worden. En het laat wel even goed zien dat je heel erg op moet passen bij een joviale callcentermedewerker.
Reageer
jinx857 @Powerblast25 februari 2026 21:05
Wat denk je van 112 bellen bij een agressieve klant in de winkel?
Reageer
R4gnax
@Powerblast25 februari 2026 21:06
Geen idee wat de wet hierover zegt
De wet zegt middels AVG artikel 10 daarover dat verwerken van gegevens over strafbare feiten en daaraan gerelateerde veiligheidsmaatregelen enkel met passende waarborgen mag.

In een online landsbreed CRM systeem noteren dat een klant dreigingen heeft geuit in één bepaald fysiek winkelfiliaal, valt daar denk ik niet onder. Dat is een aangelegenheid voor dat lokale filiaal. En kan perfect afgehandeld kan worden doordat de filiaalhouder binnen besloten kring de lokale medewerkers inlicht en een signalement van deze persoon verstrekt. Dat houdt de impact zo klein mogelijk.
Reageer
DionMes @n00bs25 februari 2026 19:07
Ik kan mij voorstellen dat het niet mag, maar dat zie ik niet terug in artikel 9.
Reageer
Knallmeister @n00bs25 februari 2026 18:30
Je hoort en mag dergelijke gegevens niet opslaan! wanneer een klant een kut periode heeft of zich achterlijk gedraagt aan de telefoon of in de winkel is het niet aan een telecomprovider zich deels als agent op te stellen!


het mag simpelweg niet!
Jurisprudentie?
Reageer
R4gnax
@Knallmeister25 februari 2026 20:57
Jurisprudentie?
Geen jurispredentie voor je, maar er moet middels artikel 5 van de AVG wel aan bepaalde normen voldaan worden. Zo moet er bij verwerking van gegevens sprake zijn van doelbinding. Je mag niet zomaar gegevens verwerken voor doeleinden anders dan waar deze origineel voor verstrekt waren. En wat je verwerkt moet ter zake dienend zijn en beperkt blijven tot wat er echt noodzakelijk is voor die beoogde (originele) doeleinden.

"Klant gaat door een moeilijke periode" of "klant lijkt onder invloed te zijn tijdens het bellen" valt daar absoluut niet onder. Ze doen aan customer support inzake het afhandelen van een klacht, of het inwinnen van advies. Ze doen niet aan life-coaching.

Dit soort zaken zou enkel relevant zijn indien er ook sprake is van aggressief gedrag en gevaar voor medewerkers, zoals het gegeven voorbeeld waar een klant uit de winkel is gezet na dreigementen te hebben geuit. Alleen is het dus wel zo dat in het geval van strafbare feiten of veiligheidsmaatregelen die aan de hand daarvan getroffen worden, artikel 10 van de AVG geldt: die gegevens mag je enkel verwerken onder toezicht van de overheid, of waar de nationale wetgeving dit onder passende waarborgen toestaat.

Open en bloot een centraal CRM systeem in mieteren is niet 'passende waarborgen.'
Passende waarborgen zou zijn besloten correspondentie vanuit een filiaalhouder aan de lokale medewerkers om op te passen indien persoon "Jan de Pet" met zo-en-zo postuur en evt. een foto erbij, weer opnieuw in de winkel verschijnt. En mogelijk licht je dan niet eens de normale commerciële medewerkers in, mocht er eentje dom genoeg zijn om de lokale held te gaan spelen - bijvoorbeeld, maar enkel het beveiligingspersoneel.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:00]

Reageer
Knallmeister @R4gnax25 februari 2026 21:02
Grappig, ik heb dit net aan een buurman van me (advocaat) voorgelegd en die oordeelt vanuit zijn expertise hier iets anders over.
Reageer
n00bs @Knallmeister25 februari 2026 18:33
Artikel 9 van de AVG
Reageer
Knallmeister @n00bs25 februari 2026 18:58
Is in dit specifieke geval hierop niet van toepassing.
Reageer
dennis74 @n00bs25 februari 2026 18:49
Lijkt me niet echt relevant. Wat ik begrijp gaat het hier om gedrag van klanten in relatie tot Odido.
Artikel 9 gaat echter over het registreren van bijzondere categorieën van persoonsgegevens, zoals religie, politieke voorkeur, etnische afkomst, sexuele voorkeur, etc.

Wellicht is er een beter AVG- of wetsartikel wat hier wel op slaat?
Reageer
Danny @n00bs25 februari 2026 19:07
Zou een website wel mogen opslaan dat een gebruiker 'kennelijk klimaatontkenner' is?
Reageer
Knallmeister @Danny25 februari 2026 19:32
Als dat niet zou mogen kunnen de meeste nieuwssites hun "deuren" wel sluiten. Dan mag je vast ook niet meer zeggen/schrijven dat iemand een klimaatdrammer is.
Reageer
Danny @Knallmeister25 februari 2026 20:40
Er is een verschil tussen publiekelijk zeggen of achter de schermen zoiets opslaan in bv notities bij klanten/gebruikers
Reageer
Knallmeister @Danny25 februari 2026 20:44
Ja, bij publiekelijk zeggen is de kans dat zoiets tot civiel/strafrechtelijke vervolging kan leiden veel groter dan bij het opslaan in zeg een CRM. Dat is uiteraard zeer evident.
Reageer
Danny @Kabouterplop0125 februari 2026 20:41
Nee, dat zou je denken inderdaad.
Reageer
Knallmeister @Student156342425 februari 2026 20:26
Ben je arts?
Reageer
ToolBee @n00bs25 februari 2026 18:37
In dit geval geven er even niks om als je NU overstapt.
Heb ik ook gedaan, zonder gezeur.
Kreeg alleen een mail met "jammer dat je weggaat". Ze vroegen niet eens waarom. :D
Reageer
Knallmeister @ToolBee25 februari 2026 19:05
Kreeg alleen een mail met "jammer dat je weggaat". Ze vroegen niet eens waarom.
Ruim voor dit datalek bij Odido een abo bij Odido opgezegd, "jammer dat je weggaat" is een standaard reactie.
Reageer
Caelorum @n00bs25 februari 2026 18:37
Heb ooit eens in een systeem van een makelaar zien staan "pas op betreft een vechtscheiding" all caps met uitroeptekens.

Je zou eens weten wat je in het notitieveld van een CRM pakket allemaal vind bij bedrijven...

De introductie van AVG of het gedoe er omheen heeft het echt niet minder gemaakt. Dat gaat pas gebeuren als er een voorbeeld wordt gesteld door een middelgroot bedrijf te laten rollen.
Reageer
Mizgala28 @n00bs25 februari 2026 18:44
Als je denkt dat andere bedrijven dit soort dingen niet noteren, dan leef je in een utopie.
Reageer
SunnieNL @n00bs25 februari 2026 19:01
Klantcontact systeem...
Dat is wel iets meer dan een ticketsysteem. Hier wordt bijgehouden wie de klanten zijn en wat ze hebben. Contracten, afspraken, financiële zaken. Alle klant informatie staat bij elkaar in een zo'n systeem.
Reageer
Rolfie @n00bs25 februari 2026 20:14
Salesforce is een CRM systeem, juist bedoelt voor klant informatie
Reageer
Knallmeister @thisegzz25 februari 2026 19:01
Ik denk dat je naar aanleiding van alles wat er is gebeurd genoeg redenen hebt om je contract op te zeggen. Daarmee geef je tegelijkertijd een duidelijk signaal: nu niet, nooit niet. Niet met mijn geld terroristen sponsoren, en dat je door gebrekkige, achterhaalde beveiliging géén klant meer bent en wilt zijn. Houdt stand bij de rechter.
Ben je jurist? Ik heb zo mijn twijfels.

[Reactie gewijzigd door Knallmeister op 25 februari 2026 19:02]

Reageer
Robbierut4 25 februari 2026 18:26
Verder is in de gegevens te zien welke klanten een bewindvoerder hebben en dus onder curatele staan, meldt de NOS.
Dit klinkt heel erg voor de leek, maar hier is uberhaupt al gewoon een openbaar register voor online, namelijk op de site van de rechtspraak.

Dat gedeelte is dus geen probleem.

De rest is natuurlijk wel schadelijk dat dat ook gelekt is, maar ook niet verrassend gezien ze een inlog hadden via de klantenservice systemen.
Reageer
snaggyheadshot @Robbierut425 februari 2026 18:43
Dat gaat wel heel kort door de bocht. Om te zien of iemand onder curatele staat heb je op de website van de rechtspraak al toegang nodig tot diegene zijn of haar achternaam + bijbehorende geboortedatum. Je hebt dus geen toegang tot het volledige register zonder alle matchende achternamen en geboortedatums.

Dat is heel wat anders dan in één opslag een CSV'tje kunnen filteren.
Reageer
Robbierut4 @snaggyheadshot25 februari 2026 18:45
Het was al eerder bekend dat de volledige naam en geboortedatum was gelekt.

Tuurlijk, ff een csv filteren is makkelijker/sneller, maar ik kan me niet voorstellen dat de rechtspraak nou de meest geweldige rate limiting heeft op hun systemen, dus je kunt daar vast de 8 miljoen gebruikers in een week doorheen halen, zeker met wat proxies.
Reageer
snaggyheadshot @Robbierut425 februari 2026 18:52
Je gaat voorbij aan het punt: namelijk dat deze informatie direct in een CRM/ticketsysteem in relatie tot een klant is opgeslagen en ook te exporteren is geweest voor een klantenservice-medewerker.

Vanuit governance-perspectief is het idioot dat dit soort informatie voor klaarblijkelijk zoveel medewerkers inzichtelijk is.
Reageer
Robbierut4 @snaggyheadshot25 februari 2026 18:55
Nee, de realiteit is dat deze data voor elke medewerker inzichtelijk hoort te zijn. Tenminste, als iemand onder bewind belt om hun abbo aan te passen dan mag dat niet. De klantenservice moet dus wel weten wie ze nee moeten verkopen aan de telefoon.

Enige manier om dit af te vangen is een speciale kleine afdeling van de klantenservice te maken die rechten heeft om een abbo te veranderen. Wat veel doorschakelen en tijd kost voor zowel de klantenservice als alle klanten die niet onder bewind staan.
Reageer
snaggyheadshot @Robbierut425 februari 2026 19:08
Nee, de realiteit is dat deze data voor elke medewerker inzichtelijk hoort te zijn.
Ik hoop dat dit een grap is. Ooit gehoord van Principle of Least Privilege (PoLP)?

Eerste-lijn support hoeft géén toegang te hebben tot de juridische status van iemand. Dit mag prima voorbehouden zijn aan de financiële afdeling (dat is immers ook de enige afdeling waar deze informatie voor van belang is).


Overigens is jouw 'het kost veel tijd'-argument ronduit flauwe kul. Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu. Bovendien zou een klein beetje extra tijd geen argument mogen zijn om de privacy van kwetsbare mensen te beperken. Een medewerker die je helpt met het instellen van je router hoeft niet te weten of je wel of niet onder curatele staat.
Reageer
Robbierut4 @snaggyheadshot25 februari 2026 19:14
Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu.
Ah top, laten we ff een voorbeeld pakken. Pietje staat onder bewind want is niet verstandig met zijn geld. Pietje wil graag de nieuwste iphone.
Pietje belt Odido en hoort, sta je onder bewind toets 1, zo niet, toets 2.

Pietje staat onder bewind, maar wil toch graag die iphone, dus toetst 2. Besteld nieuw abbo, want medewerker kan dat niet inzien.
Maand later komt de bewindvoerder erachter, maar de iphone is al een paar keer gevallen, scherm kapot, etc.

Odido de sjaak, want die zitten met een kapotte iphone en geen geld, want het abbo was niet rechtsgeldig.

Maar goed idee hoor, zo'n keuzemenu.
Overigens als "computer says no" gebeurt bij optie 2 bij het afsluiten (want die weet wel van het bewind), dan weet de desbetreffende medewerker alsnog gewoon dat iemand onder bewind staat, want dat is de enige logische reden waarom het geblokkeerd wordt dat iemand een abbo mag afsluiten.
Reageer
latka @Robbierut425 februari 2026 19:56
In de verzekerings wereld is zon gebruiker geflagged voor de 1e lijn: die zien niet waarom maar weten wel dat zij het niet mogen afhandelen en door moeten zetten naar een andere afdeling. Die afdeling kan dan wel de gegevens opvragen (als: zijn niet allemaal lokaal beschikbaar) om de zaak verder af te handelen. De 1e lijns voorzien van dit soort info is dwaas.
Reageer
TweakerCarlo @Robbierut425 februari 2026 19:33
Zo werkt het dus echt niet he!
Reageer
Robbierut4 @TweakerCarlo25 februari 2026 20:04
Correctie, zo zou het niet mogen werken.

Ik heb een buurman die onder bewind staat, en op de een of andere manier toch telkens dingen af weet te sluiten of voor elkaar krijgt om dingen op krediet te kopen etc.
Onder bewind staat niet altijd gelijk aan dom, maar soms juist aan erg gehaaid.
Reageer
Caelorum @Robbierut425 februari 2026 19:36
Er zijn heel veel redenen om iemand te blokkeren van bestellen: onder bewind, negatieve kredietcheck, juridisch conflict met het bedrijf, verdacht van fraude, eerder poging tot idemlntiteitsdiefstal van de betreffende persoon die iets wil bestellen en zo nog een aantal redenen. De medewerker weet dus niet de exacte reden en dat is ook gewoon niet relevant.

Dst er ergens staat opgeslagen wat de werkelijke reden is is logisch, maar een servicedesk medewerker, zeker de eerstelijn, hoeft dat niet te weten of überhaupt te kunnen inzien.
Reageer
Robbierut4 @Caelorum25 februari 2026 20:27
Dst er ergens staat opgeslagen wat de werkelijke reden is is logisch, maar een servicedesk medewerker, zeker de eerstelijn, hoeft dat niet te weten of überhaupt te kunnen inzien.
Je gaat hier alsnog voorbij aan de basis. Het is praktisch gezien al publieke informatie.
Tenzij de servicedesk ook geen toegang mag hebben tot naam en geboortedatum.
Reageer
SubSpace @Robbierut425 februari 2026 20:10
Of als de computer-says-no foutmelding te vaag is, krijgt de IT-afdeling een ticket voor elke gefaalde order 😬
Reageer
marco-ruijter @Robbierut425 februari 2026 20:19
Maar je vergeet even dat wanneer je telefonisch een abonnement afsluit, de medewerker die je spreekt de aanvraag in de basis gewoon kan voltooien. Vervolgens gaat de aanvraag echter alsnog door een financieel checksysteem, waarbij bijvoorbeeld de BKR wordt gecontroleerd. Het komt vaak genoeg voor dat er dan alsnog een afwijzing volgt, nog voordat de telefoon überhaupt is verzonden.

Over het algemeen hoeft een medewerker bij een provider zoals Odido geen uitgebreide financiële checks uit te voeren. Die voert simpelweg in wat je telefonisch doorgeeft, vaak exact hetzelfde als wat je online zelf zou invullen.

Je ontvangt daarna netjes een e-mail met de bevestiging: bedankt voor het kiezen van ons als provider, en dat ze aan de slag gaan met het verwerken van je aanvraag.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 20:20]

Reageer
karelvandongen @Robbierut425 februari 2026 20:34
Er is geen enkele reden waarom je dit niet kunt ondervangen, je maakt in de sql query's gewoon een true/flase item met voor gebruiker x mogen we niets voor doen, en de reden zou er voor de gewone medewerker niet toe moeten doen. Die kan gewoon doorschakelen naar iemand die dat wel kan/mag, en zeker voor zon kleine groep zou dat echt geen probleem moeten zijn.
Reageer
DdeM @snaggyheadshot25 februari 2026 19:19
Overigens is jouw 'het kost veel tijd'-argument ronduit flauwe kul. Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu.
Alleen meestal is dat alleen een soort filter zodat de medewerker die je aan de telefoon krijgt alvast de juiste gegevens er zo veel mogelijk bij kan pakken, maar krijg je gewoon dezelfde medewerker te spreken als die je krijgt als je een storing hebt.
Reageer
R4gnax
@Robbierut425 februari 2026 21:23
Enige manier om dit af te vangen is een speciale kleine afdeling van de klantenservice te maken die rechten heeft om een abbo te veranderen. Wat veel doorschakelen en tijd kost voor zowel de klantenservice als alle klanten die niet onder bewind staan.
En dat is dus juist wat er binnen organisaties die wel hun zaakjes op orde hebben, gebeurt.
Die hebben vaak minimaal afdelingen verkoop/acquisitie/klantbehoud, facturen en betaling, en generieke vragen en ondersteuning. En allemaal hebben ze andere toegangsniveau's.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:24]

Reageer
Robbierut4 @R4gnax25 februari 2026 21:25
Dan moet je dus iedereen die uitkomt bij de generieke vragen en uiteindelijk toch iets wil kopen doorverbinden aan een nieuwe afdeling. Met mogelijke wachttijd.

Voor iets wat effectief openbare informatie is.
Reageer
fender89 @snaggyheadshot25 februari 2026 19:45
Zonder verder waardeoordeel, kan uit eigen ervaring vertellen, dat dit ook het geval is bij een van de bekende grootbanken. (En ongetwijfeld nog bij meer organisaties).

In het CRM systeem van de betreffende grootbanken staan jaaaaren aan 'klantnotities" in het individuele klant dossier. Inzichtelijk voor iedere gebruiker van dat systeem. Van KCC medewerker tot private banker en alles daartussen.
En in het kader van een 'integraal klantbeeld' werd (wordt?) daar vanalles genoteerd: klant is ziek, klant ligt in scheiding, klant was onbeschoft toen ik hem belde, meneer stonk heel erg in de spreekkamer,... De voorbeelden zijn eindeloos.

Ofwel, goed om te beseffen dat Odido echt niet 'uniek' is in deze...
Reageer
latka @fender8925 februari 2026 19:57
Had die bank ook een mantra over een 'vloeiende kanaalbeleving'?
Reageer
fender89 @latka25 februari 2026 19:58
Correct.
Reageer
Jerie @Robbierut425 februari 2026 18:59
Ik heb zojuist mijn halve familie erdoorheen geramd. Nul hits, maar ook geen limiting, terwijl ik toch binnen enkele minuten meerdere requests deed (zo snel als ik op touchscreen kon tikken in m'n midlife crisis leeftijd).

Met een CSV van een leak kun je dit met curl en HTTP POST vast automatiseren. Daar heb je niet per definitie dit Odido lek voor nodig. Bijvoorbeeld het lek van Facebook rond 2017 volstaat ook. Daar stonden ook allerlei BN'ers in.
Reageer
jinx857 @snaggyheadshot25 februari 2026 21:08
Niet iedereen met een bewindvoerder staat onder curatele. Dat is zwaarder dan bewind.
Reageer
mrtl @Robbierut425 februari 2026 18:33
Niet iedereen met een bewindvoerder staat onder curatele toch? Dus niet iedereen zal daarin online staan.
edit:
Jezus... ik zie nu dat het voor iedereen "onder bewind" geldt. Dat vind ik erg ver gaan...

[Reactie gewijzigd door mrtl op 25 februari 2026 18:34]

Reageer
Robbierut4 @mrtl25 februari 2026 18:34
Het is het curatele en bewind register, dus ja, in principe kun je daar iedereen vinden die onder bewind staat.

Het is juist bedoeld voor bedrijven om even snel te checken of iemand wel zelf een contract etc mag afsluiten.
Reageer
tweakerbee @mrtl25 februari 2026 18:39
Wie staan niet in het register?

Personen van wie de geldzaken al vóór 1 januari 2014 onder bewind staan, staan meestal niet in het register.

Personen van wie de geldzaken onder bewind zijn geplaatst vanwege lichamelijke of geestelijke omstandigheden, waarvan de rechter heeft besloten dat publicatie niet noodzakelijk is.
Ook onder bewind staat erin, maar meestal alleen wanneer dit na 2014 gestart is.
Reageer
jinx857 @tweakerbee25 februari 2026 21:12
Het boeit mij echt niet of ze weten dat ik bewindvoering heb,of dat ze dat gaan lekken. Is geen geheim. Succes daarmee..maar idd vind ik het echt schandalig als odido gaat betalen. Ze maken zelf door hun lakse beveiliging dat ze gehackt zijn. Ik twijfel of ik nog wel bij odido wil blijven..
Reageer
Tomatoman @Robbierut425 februari 2026 18:51
Dat is natuurlijk geen geldige vergelijking. Je kunt in dat register echt niet eventjes downloaden welke mensen in een dataset van 6 miljoen Nederlandse inwoners onder curatele staan.

Als we die 128 mensen uit een set van 10.000 als maatgevend beschouwen, staat/stond 1,28% van de Odido-klanten onder curatele. Met gelekte data van 6,5 miljoen klanten gaat het om een lijst van meer dan 80.000 mensen die onder curatele staan. Dat is ongekend heftig datalek, want die lijst is nergens anders verkrijgbaar.
Reageer
Robbierut4 @Tomatoman25 februari 2026 18:53
In de gelekte data zitten volledige namen en geboortedata. Dan is het vrij eenvoudig op daarmee de lijst van de rechtbank te scrapen.
Reageer
SilentSimon 25 februari 2026 18:26
Wat een shitshow, en dan vooral de communicatie van Odido richting de klanten.

Je wordt compleet gebagatelliseerd. Ik ben in elk geval overgestapt van telefoon abbo en internet abbo. Mijn geld krijgen ze niet meer
Reageer
asing @SilentSimon25 februari 2026 18:34
Vergeet niet even van je recht om vergeten te worden gebruik te maken. Anders bewaren ze het gewoon.
Reageer
asset185 @asing25 februari 2026 19:18
Vergeet niet even van je recht om vergeten te worden gebruik te maken. Anders bewaren ze het gewoon.
Je kunt je nu serieus af vragen. In hoeverre ze zich daar daadwerkelijk aan houden en jouw gegevens daadwerkelijk verwijderen.
Reageer
asing @asset18525 februari 2026 19:33
In dit geval is het een wet. De GDPR, hier de AVG, Als je zwart op wit gevraagd hebt om verwijdering en ze hebben ingestemd.... dan zijn ze bij wet strafbaar als ze later mailen dat je gegevens zijn gestolen.


Overigens ook een leuke, je hebt het recht om alles op te vragen wat ze van je weten.
Reageer
Upr0ar @asing25 februari 2026 20:08
Oeh, zeer nuttige info dit.. Effe noteren. Thanks! (y)
Reageer
asset185 @asing25 februari 2026 20:10
En dan lees je opeens terug dat je volgens een medewerker onder invloed was. Of iets anders wat je tegen die te joviale medewerker hebt gezegd.

Het blijkt maar weer. Dat je het gewoon bij het onderwerp moet laten en verder geen woord extra.
Reageer
Chocoball @asing25 februari 2026 19:14
Daar heeft Odido ook weer een aardige drempel opgeworpen. Ik moet een compleet formulier invullen met handtekening en dat kan voor mobiel abonnement, abonnement voor Internet + TV en zakelijk abonnement.

Ooit iets met Ben gehad en vaste telefonie van Tele2, beide langer dan 7 jaar geleden maar toch zijn er gegevens gelekt volgens Odido. Geen idee hoe ik erachter moet gaan komen want er is geen ander contact dan via de formulieren opvragaen of laten verwijderen.
Reageer
Zentbeer @Chocoball25 februari 2026 21:05
Ik vind dat een enorme drempel. Bovendien moet je in dat formulier ook nog eens al je gegevens invoeren, waar ik bij Odido nu wat huiverig voor ben 😉

Heb ze maar gewoon gemaild dat ze alles wat aan mijn mailadres hangt moeten verwijderen en dat ze geen aanvullende informatie hoeven te hebben voor dit verzoek, want als ze de data bekijken zien ze dat ze die sowieso uit zichzelf al lang en breed verwijderd hadden moeten hebben.

We zien wel wat ervan komt :-)
Reageer
Artz @SilentSimon25 februari 2026 18:33
Ik was net een nieuw glasvezelabbo van 2 jaar aangegaan. Dit lek zal wel geen reden zijn om het contract op te kunnen heffen? Of is er sprake van een wanprestatie waardoor ik de boel kan ontbinden? @Arnoud Engelfriet

Ik ben een keer geïnformeerd. En daarna nooit meer. Bizar dit bedrijf.

[Reactie gewijzigd door Artz op 25 februari 2026 18:33]

Reageer
The Chosen One @Artz25 februari 2026 19:07
Zit er ook net 4-6 maanden in een 2 jaar abo...
Reageer
MartijnVFF 25 februari 2026 18:29
Hoe kan er zo ongelooflijk veel verschillende data gescraped/gedownload zijn in die korte tijd via de login van 1 of hooguit een handjevol logins van medewerkers? Waarom zat er geen blokade op bij zulke verdachte scrapes/downloads van data?

Bij de eerstvolgende mogelijkheid in augustus gaan we inmiddels zeker weten overstappen.
Reageer
Martinez- @MartijnVFF25 februari 2026 18:38
Ze zijn er pas in het weekend van 7 op 8 februari achter gekomen dat er kwaadwillende in het systeem zitten (nadat ze zichzelf gemeld hebben...).

Het kan dus zomaar zijn dat ze al enkele maanden toegang hadden zonder dat Odido het doorhad. En dat ze pas zichzelf kenbaar hadden gemaakt nadat ze langzaam maar zeker alle records hadden.

[Reactie gewijzigd door Martinez- op 25 februari 2026 18:39]

Reageer
AmateurVinoloog @MartijnVFF25 februari 2026 18:45
Mja, het kan natuurlijk ook zijn dat ze ergens een parquet file of csv hebben opgerakeld. Je wilt niet weten hoeveel er in de download mappen staat van sommige medewerkers. Als dat je DBA of BI engineer is die wat slordig omgaat met ... gegevens, dan zijn de rapen natuurlijk gaar.

IOm je een voorbeeld te geven: best veel bedrijven hebben Dynamics CRM; ik werk er inmiddels niet meer mee, maar tot voor kort kon je via PowerQuery gewoon de hele db waar je toegang toe hebt leegtrekken. Sommige medewerkers, bijvoorbeeld administrators in een organisatie hebben toegang tot alles. Daarom beperk je die rechten ook zoveel mogelijk, maar er zijn altijd medewerkers met God mode. Als je jezelf daar toegang toe verschaft; God beware je.
Reageer
Powerblast
@MartijnVFF25 februari 2026 18:38
Hangt er wat vanaf over welk type medewerker het gaat, maar bij bijvoorbeeld helpdesk of iets dergelijks kan ik me wel voorstellen dat ze heel wat kunnen inzien. Daar zullen weinig beperkingen zitten op die persoon enkel die set aan klanten.
Reageer
adje123 25 februari 2026 18:37
en bij 128 mensen is er sprake van een bewindvoerder. Dit betekent dat die klanten ernstige financiële problemen hebben.
Als je een bewindvoerder hebt betekent het niet meteen dat je ernstige financiële problemen hebt.
Reageer
Hans1990 @adje12325 februari 2026 19:11
Klopt, ook mensen met bijvoorbeeld dementie kunnen hier onder vallen. Deze mensen zijn wel extra kwetsbaar, net zoals mensen met schulden of problematische uitgavepatronen. Misschien wel meer zelfs omdat bewind nog geen curatele is, dus mensen hebben nog wel bepaalde vrijheden over hun geld. En hoewel je met een partij als Odido nog wel kan praten over het terugdraaien van een abonnement, valt dat met criminelen een stuk lastiger te doen.
Reageer
toro 25 februari 2026 18:43
Zo gaat het nu bijna altijd bij een hack.


Dag 1: wij zijn gehacked. Het betreft maar een klein groepje klanten.
Dag 2: er zijn maar een paar gegevens van de klanten gelekt.
Dag 3: het valt wel mee allemaal.
Dag 4: de groep klanten om wie het gaat is groter.
Dag 5: het is meer dan een paar gegevens van de klanten wat er gelekt is.
Dag 6: alle data is in handen van criminelen en ligt op straat.


Dag 14: Het gehackte bedrijf betuigd openlijk spijt en belooft beterschap in de toekomst. Hun verzekering dekt alle financiële schade wat hier uit voortvloeit.

Dag 15: business als gewoonlijk voor het gehackte bedrijf en gaat gewoon verder met alles zoals men voorheen deed.

De getroffen klanten krijgen misschien maximaal €50 compensatie en hún privé gegevens liggen permanent op straat.

Dit gebeurt keer op keer weer en bedrijven blijven er mee wegkomen. Dit was de tweede keer voor mij dat mijn gegevens op straat terecht waren gekomen :/
Reageer
ep667 @toro25 februari 2026 20:05
Alleen zitten we nu op dag 12 na bekend worden hiervan en zit Odido nog steeds op de lijn "oepsiefloepsie, kan gebeuren, jammer joh, volgende keer een beetje opletten als je iets verdachts krijgt, nou ons niet bellen he, doei".
Reageer
mugenmarco 25 februari 2026 18:38
Ik heb inmiddels een pest hekel gekregen aan Odido, ze gaan zo laks om met deze hele situatie!
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq