Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks

De melding vanmiddag van Odido dat bij de recente hack 'aanvullende gegevens zijn getroffen' betreft gevoelige informatie over kwetsbare klanten. Die gegevens zijn in handen van afpersers, die dit toonden aan de NOS. Odido wist van niets en werd door de NOS hierover geïnformeerd.

De NOS kreeg van hackersgroep Shinyhunters een dataset met gestolen gegevens van 10.000 Odido-klanten. Daaruit blijkt dat de uitvoerders van de aanval begin deze maand meer in handen hebben dan eerst bekend én dat het om zeer gevoelige informatie gaat. Zo bevatten de 'aanvullende gegevens', waar Odido geen details over geeft, recente e-mails aan klanten en ook privacygevoelige aantekeningen over klanten.

Die aantekeningen in het gehackte klantcontactsysteem lopen uiteen van instructies om extra op te letten omdat de ex van een klant zich voordeed als die klant, tot notities als 'gaat door een moeilijke periode' en 'Klant lijkt onder invloed te zijn tijdens het bellen. Is door winkel (...) uit de zaak verwijderd en heeft gedreigd daar de boel kort en klein te slaan'. Verder is in de gegevens te zien welke klanten een bewindvoerder hebben en dus onder curatele staan, meldt de NOS.

In de dataset van 10.000 klanten die de NOS inzag, staat bij zeker 266 mensen een aantekening en bij 128 mensen is er sprake van een bewindvoerder. Dit kan betekenen dat die klanten ernstige financiële problemen hebben, maar kan ook voortkomen uit behoefte aan hulp vanwege fysieke of psychische redenen.

Odido onwetend

Odido geeft tegenover de NOS toe dat het niet wist dat deze extra informatie in handen was van de aanvallers. Daarom liet de provider dit niet weten. Na de melding door de NOS plaatste Odido vanmiddag een melding op zijn informatiepagina: dat er 'aanvullende gegevens zijn getroffen'. "Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen", aldus de korte boodschap. Het onderzoek van Odido naar de hackaanval loopt nog en het Nederlandse Openbaar Ministerie stelt ook een onderzoek in.

Odido-datalek

Door Jasper Bakker

Nieuwsredacteur

Feedback • 25-02-2026 18:22 351

25-02-2026 • 18:22

351

Lees meer

Politie en Europol rollen LeakBase op en nemen privédata van criminelen over
Politie en Europol rollen LeakBase op en nemen privédata van criminelen over Nieuws van 5 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026
Hackers zetten eerste batch met gestolen Odido-data online - update 2
Hackers zetten eerste batch met gestolen Odido-data online - update 2 Nieuws van 26 februari 2026
Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update
Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Meer producten en artikelen
Bedrijfsnieuws Politiek en recht Privacy Betaling Cybercrime Cybersecurity Klantenservice NOS Odido problemen Telecom

Reacties (351)

-Moderatie-faq
351
344
192
20
0
120
Wijzig sortering

Sorteer op:

Weergave:
Dutchzilla 25 februari 2026 19:46
Odido wist dus van niets. Niet van aanvullende gegevens. Niet van interne notities. Niet van kwetsbare klanten. Ze moesten door de NOS worden geïnformeerd dat er meer data was buitgemaakt.

Dat is moeilijk te geloven.

We hebben het hier niet over alleen namen en e mailadressen. Het gaat om interne klantnotities. Aantekeningen over mensen onder bewind. Notities over psychische problemen. Meldingen van dreigend gedrag. Privacygevoelige contactgeschiedenis.

Dat valt niet onder een klein detail of aanvullende gegevens. Dat is gevoelige informatie.

De volgorde is ook opvallend. Eerst minimaliseren. Iedereen kan gehackt worden. We werken met externe experts. Beveiliging versterkt. Geen details over wat precies is buitgemaakt.

Pas nadat de NOS een dataset onder ogen krijgt, verschijnt er ineens een update dat er aanvullende gegevens zijn getroffen.

Een organisatie van deze omvang weet normaal gesproken vrij snel welke systemen zijn benaderd. Je hebt logging. Je hebt monitoring. Je weet welke databases zijn geraadpleegd of geëxporteerd.

Als ze dat niet weten, is dat een ernstig probleem in hun detectie en respons. Als ze het wel wisten maar het niet communiceerden, dan is dat een bewuste keuze geweest.

Beide scenario’s zijn zorgwekkend.

Doen alsof je compleet verrast bent terwijl een hackersgroep concrete datasets kan tonen aan een redactie, is niet geloofwaardig. Dit oogt als reageren onder mediadruk, niet als proactieve transparantie.

En ondertussen zijn juist de meest kwetsbare klanten geraakt. Dat maakt het nog kwalijker.
Reageer
Senaxx @Dutchzilla25 februari 2026 22:24
Dat is bij elke hack ongeveer het scenario:

1. Zo laat mogelijk de klant informeren
2. Bagatelliseren wat er is gelekt
3. Aangeven wat er gelekt is niet zo heel belangrijk is
4. Pas nadat ze met feiten geconfronteerd worden aangeven dat ze van niets wisten
5. Melding bij AP en mailtje naar de klant met excuses en over op de orde van de dag.
Reageer
Max|Burn @Senaxx25 februari 2026 23:08
Ik heb nog steeds 0,0 gehoord maar was tot Augustus vorig jaar klant. Lijkt mij sterk dat ik er niet bij zit.
Reageer
schrikbeeld @Senaxx26 februari 2026 21:06
@Senaxx

Dat doen vrijwel alle gehackte bedrijven. Ik denk dat ze dat doen om te pogen de reputatieschade te beperken en vooral in de hoop dat inmiddels de zaak wat uit de publiciteit is geraakt voordat ze helemaal met de waarheid boven tafel moeten.

Dat zal Odido niet lukken met deze grootste hack uit de recente geschiedenis, door hun gedrag vergroten zij nu juist de reputatieschade en zetten ze zich te kijk als technisch en organisatorisch incompetent bedrijf.

Ook de eerste reactie van Odido dat klanten geen compensatie hoeven te verwachten, enige dagen later gevolgd door het 'aanbod' voor F-Secure, doet het ergste vrezen voor de toekomst.
En met die toekomst bedoel ik de hoeveelheid data die op straat ligt, de enorme reputatieschade, te maken onkosten voor o.a. F-Secure en juridische aanklachten, verlies van klanten en uiteindelijk het voortbestaan van Odido.
Reageer
Kastermaster @Senaxx27 februari 2026 14:23
Ik heb eerlijk gezegd ook weinig vertrouwen in de AP. De boetes zijn vaak relatief laag en zaken duren tergend lang. De AP is een tandeloze tijger. Ze hebben geen geld en geen personeel om binnen afzienbare tijd te doen wat ze moeten doen.
Reageer
matthijs1929 @Senaxx1 maart 2026 14:27
De overheid zou odido moeten dwingen het losgeld te betalen. Als het bedrag op een miljoen ligt en ze hebben 8 miljoen klanten... Dat is 12,5 cent per klant. Is dat onze privacy nog niet eens waard? Hoe worden bedrijven verantwoordelijk gehouden voor onvoldoende beveiliging?

Hoe dan ook kan err worden gesteld dat de beveilig niet voldoende was want het resultaat is er. Omdan ook nog eens zó gierig te zijn. Wat een k** bedrijf.

Als je in Nederland zaken wil doen waar je persoonsgegevens voor nodig hebt, dan zou je verantwoordelijk moeten worden gehouden voor waar deze belanden. En ten koste wat het kost moeten voorkomen dat deze op straat belanden.]

Ik zou zeggen 5 jaar winstverbod voor odido.

[Reactie gewijzigd door matthijs1929 op 1 maart 2026 14:34]

Reageer
WillySis
@Dutchzilla25 februari 2026 22:56
Ik geloof net zo min dat Odido het lekken van deze extra gegevens niet wist en pas via de NOS moest horen.
Ik vind dat Odido de klanten slecht informeert. Klanten waarvan de gegevens allang gewist hadden moeten zijn (waar ik toe behoor) kregen pas drie dagen na de actieve klanten bericht dat er mogelijk gegevens in handen van hackers waren gekomen, zonder specifiek te vermelden welke gegevens dat zouden (kunnen) zijn. In het mailtje staat ook dat de kans op misbruik gering is.

Het gaat dus allemaal om het bagatelliseren van de hack en het eigen imago zo min mogelijk te beschadigen. Ondertussen legt men toch wel een behoorlijk risico bij de (ex)klant. Zelf ben ik niet zo bang voor misbruik, want mijn gegevens waren van acht jaar geleden en het oude telefoonnummer bestaat nog wel, maar via een zakelijk contract. De bankrekening die toen gebruikt werd is niet meer in gebruik en het paspoort is inmiddels vervangen.

De politiek zou zich ook eens moeten buigen over de gevolgen van de wet die ze zelf ingesteld hebben. Er zijn te veel instanties die je paspoort gegevens (kopie van paspoort) moeten vragen en op een ietwat knullige manier opslaan. Eigenlijk zou men moeten verbieden om een kopie op te slaan, alleen het documentnummer zou moeten volstaan. De overige informatie is bij de overheid bekend. Bij een onderzoek door justitie of veiligheidsdienst kan men domweg het documentnummer gebruiken.
Reageer
stuiterveer @Dutchzilla25 februari 2026 23:11
Om je dan als "goedmakertje" F-Secure aan te bieden, wat in deze situatie gewoon totaal irrelevant is "maar omg het kost normaal gesproken 100 knaken". Absoluut toondoof wanneer ze zelf niet hun beveiliging op orde hebben.
Reageer
teesee64 @Dutchzilla26 februari 2026 13:23
Het enige waar Odido zich druk om maakt, is dat er geen inloggegevens zijn buitgemaakt en dat alle diensten blijven werken. Daar leggen ze de nadruk op in al hun berichtgeving hierover. Ze maken zich totaal niet druk om wat dit voor de klanten betekent.
Sowieso klopt er iets niet. Een beetje systeembeheer ziet heel snel dat er extreem veel dataverkeer is. Dat dit niet opgemerkt is, is een teken dater heel veel niet deugt bij bedrijven als Odido. Want laten we nu niet net doen alsof dit bij andere providers en bedrijven in het algemeen beter geregeld zal zijn.

De overheid laat ook flinke steken vallen door het gebrek aan controle.
Reageer
Thalaron @Dutchzilla27 februari 2026 14:43
Ik zie net ook bericht voorbijkomen op FOK dat BSN nummers ook gelekt zijn... Wist men natuurlijk ook niets van. En waarom moet ik dat op FOK... lezen? Is mijn BSN nummer nu ook gelekt... Erg kwalijk dit alles.

Gelet op alle lekken en grote hoeveelheid informatie die inmiddels beschikbaar is van praktisch iedereen, moeten we wellicht eens gaan nadenken over een alternatieve manier om je te kunnen identificeren voor belangrijke zaken met financiële gevolgen...
Reageer
gertvdijk 25 februari 2026 20:02
De zelfgekozen codewoorden om telefonisch te authenticeren (ingevoerd als optie bij destijds T-Mobile in 2021) zijn ook gelekt. Ik had dit dus aangezet en mensen aangeraden dat ook in te stellen ter vookoming van telefonische phishing/simswap attacks. Mocht je dat ook ooit hebben gedaan, zorg dan dat alle andere wachtwoorden die hierop lijken dat je die ook verandert.
Wat er wél is gelekt, is een veld uit het klantcontactsysteem met de naam “password_c”. Ondanks deze naam gaat het niet om een wachtwoord, maar om een zogenoemd challenge word of codewoord. Dit werd gebruikt als extra controlevraag wanneer een klant telefonisch contact opnam. Dit codewoord geeft geen toegang tot accounts, diensten of persoonlijke gegevens en staat volledig los van de systemen waarin klanten inloggen.

Voor een beperkte groep klanten stond zo’n extra codewoord geregistreerd. Zodra we hoorden dat deze codewoorden in het lek voorkwamen, is de telefonische verificatie op basis van deze codewoorden direct stopgezet.
van https://www.odido.nl/veiligheid (onderaan bij Q&A, uitklappen)
Reageer
ezra070 @gertvdijk25 februari 2026 20:07
Dank je voor je headsup!
Reageer
J-D @gertvdijk25 februari 2026 21:31
Ah goed om te weten.
Jouw tweet verwijst nog naar het t-mobile.nl; voor de geïnteresseerde is dit volgens mij het artikel op odido.nl:
https://community.odido.nl/diensten-en-services-571/ik-wil-een-extra-wachtwoord-toevoegen-ter-beveiliging-331445
Hoe kan ik regelen dat ook op mijn aansluiting een wachtwoord wordt toegevoegd?

Je kunt een wachtwoord als volgt aanvragen:
• via e-mail
• door een brief te sturen naar T-Mobile Klantenservice BV, Postbus 16272, 2500 BG Den Haag
• of door binnen te lopen in een Odido Shop

Vermeld bij je aanvraag je naam, volledige adres, mobiele nummer en het gewenste wachtwoord.

Let op! Het wachtwoord moet aan de volgende 3 voorwaarden voldoen:
1. het wachtwoord is maximaal 12 tekens lang
2. het wachtwoord mag geen getallen bevatten
3. het wachtwoord mag niet 'ja', 'nee' of 'geen' zijn
Wel mooi dat je het ook nog kan regelen door een brief te sturen naar T-Mobile Klantenservice BV :+
Reageer
emojima @gertvdijk26 februari 2026 16:46
Aleen zal odido dus niet meer kunnen weten of jij het bent of een scammer die dat wil veranderen..
Reageer
gertvdijk @emojima26 februari 2026 16:50
Odido zelf gebruikt het niet meer. Ik bedoelde dat je dit moet veranderen bij andere diensten mocht je het hebben hergebruikt.

Als het codewoord Flappie123 was en je wachtwoord bij een andere dienst is ook zoiets zoals bijvoorbeeld Flappie321 dan moet je wel even overwegen om het daar te passen.
Reageer
FiberSam 25 februari 2026 18:29
ok, wat vinden jullie?

- Betalen, want de klanten en hun privacy moet beschermd worden.
- Niet betalen, want dit zijn criminelen en het wordt dan alleen maar erger.
Reageer
MaltheseFalcon @FiberSam25 februari 2026 19:06
Wat mij betreft moet het wettelijk verboden worden om te betalen bij afpersing. Dit gaat niet meer om alleen Odido, maar ook om de langetermijngevolgen wanneer je als maatschappij bereid bent om criminelen te belonen voor hun activiteiten.
Reageer
hbvdh @MaltheseFalcon25 februari 2026 20:04
Zie het als een onvoering, niet een mens maar dan met data. Als de onvoerder zegt, deze persoon komt alleen heel terug als je x betaald, zal je dat toch ook uiteindelijk doen? Ja toch?
Ik zie het als de plicht voor Odido dat ze de eventuele last voor de klant maximaal minimaliseren, en als betalen daar de beste methode voor is...
Reageer
MaltheseFalcon @hbvdh25 februari 2026 23:46
Zie het als een onvoering, niet een mens maar dan met data. Als de onvoerder zegt, deze persoon komt alleen heel terug als je x betaald, zal je dat toch ook uiteindelijk doen? Ja toch?
En daarom vind ik dat het verboden moet worden. De beschermdrang van een organisatie is heel goed te begrijpen. Of van een individueel persoon zoals je vraagt. Dat is ook helemaal het argument niet dat ik maak. Het argument dat ik maak is dat door te betalen we onze maatschappij kwetsbaarder maken voor toekomstige aanvallen.

Laat ik het anders vragen: Als hackers hun volgende slachtoffer gaan kiezen en de keuze is voor een organisatie dat niet mag betalen van de overheid, of een organisatie die de ruimte wel heeft. Welke organisatie zou jij kiezen?
Reageer
dr-no @MaltheseFalcon26 februari 2026 01:05
Betalen, dan pas leert men anders blijft het doorgaan
Reageer
JayS @dr-no26 februari 2026 10:32
betalen garandeert niet dat de gegevens niet alsnog naar buiten komen of verkocht worden.
Reageer
Cuddle-sheep @JayS26 februari 2026 11:51
Ja wat weerhoud mij als hacker om die gegevens alsnog te verkopen als er betaald is, mijn moreel kompas? Die is er toch al niet.
Reageer
malmeloo @Cuddle-sheep26 februari 2026 15:46
Dergelijke hackergroeperingen houden zich over het algemeen wel aan afspraken omdat het hun verdienmodel is. Als je geld int van je slachtoffers en vervolgens alsnog hun data op straat zet, dan gaan je toekomstige slachtoffers echt geen zaken meer met je doen. Er valt voor hun meer te verdienen als ze de data netjes verwijderen (of in ieder geval niet openbaar maken).
Reageer
hbvdh @MaltheseFalcon26 februari 2026 00:01
Laat ik het zo zeggen, Odido is gehacked door human engineering, tot zover erg vervelend, dat ze naw gegevens van klanten kunnen stelen, meer dan vervelend. Maar dat ze ook ID en bank gegevens gekopeld aan de NAW gegevens kunnen stelen is een zeer kwalijke zaak. Dat het ook nog eens gegevens zijn die in sommige gevallen zelfs al jaren geleden verwijderd had moeten zijn is ronduid slecht. Het slachtoffer is niet Odido in deze zaak maar de klant, de klant is onschuldig aan alles in deze zaak en straks wel de dupe van wat er met de gegevens gedaan wordt. Wat de hacker(s) gedaan hebben is een misdrijf maar wat Odido gedaan heeft dus ook. Vindt je het dan niet zo dat Odido er alles aan moet doen het leed te beperken? In mijn ogen is dat hun plicht.

Ik geef niets om Odido en de daders wat mij betreft allebij net zo slecht. Ik heb niets met eventuele volgende hacks, alleen met deze waar mijn en 8 miljoen andere (ex) gebruikers gegevens gestolen zijn.
Reageer
Malarky @hbvdh25 februari 2026 20:37
Verschil met ontvoering is dat je gelijk kan oversteken. Bij een digitiale aanval betaal je aan een anoniem iemand in ruil voor een belofte. De belofte de gegevens niet nu en niet later te publiceren en de belofte de data niet alsnog voor veel geld aan andere kwaadwillenden te verkopen.

Oftwel, betalen levert echt weinig op.
Reageer
Huuruun @Malarky25 februari 2026 21:04
Dat kan je als groep precies een keer doen voordat niemand je meer betaalt... Ze hebben er net zo goed belang bij dat bij betaling de data niet verder wordt verspreid.

[Reactie gewijzigd door Huuruun op 25 februari 2026 21:04]

Reageer
Robbierut4 @Huuruun25 februari 2026 22:38
Zo'n groep heft zichzelf natuurlijk na een paar jaar op en dan is maar net de vraag of ze niet toch stiekem ergens nog die data hebben en er dubbel aan willen verdienen door die te verkopen aan de hoogste bieder.
Reageer
TechSupreme @hbvdh26 februari 2026 01:14
Je vergeet dat een persoon een uniek en levend wezen is dat niet te kopiëren is. Losgeld betalen voor het welzijn van die persoon is een ding, maar dat wil niet zeggen dat je het daarna moet opgeven en dat de daders vrijuitgaan. Daarnaast is de transactie heel simpel: geld in ruil voor die persoon. Geen persoon, geen geld.

Data is niet uniek in de zin dat het makkelijk te kopiëren is en er geen enkele garantie is dat de afperser het heeft vernietigd. De persoon die je afperst is al moreel wankel, omdat hij of zij het voor elkaar krijgt om in eerste instantie die data te stelen met winst als doel. Welke garantie heb je dan nog dat die persoon daadwerkelijk alle data heeft vernietigd? Het enige wat je krijgt is het woord van die persoon dat de data is vernietigd en dat is niet goed genoeg.
Reageer
Xerpan @hbvdh26 februari 2026 08:19
Er is wel een verschil tussen een fysiek persoon (of object) dat retour komt, of een dataset waar copieën van kunnen worden gemaakt. Het lijkt mij dat je criminelen niet op hun woord kan geloven, als ze zeggen dat ze de dataset zullen deleten.
Reageer
honey @MaltheseFalcon25 februari 2026 21:52
En toch is het ethisch niet de juiste keuze. Ja, je beloont criminaliteit, maar je gaat door niet te betalen deze vorm van criminaliteit niet verminderen. Je benadeeld wel miljoenen mensen, die verder geen keuze hebben. Tot nu toe zijn de meeste hackers-groepen wel betrouwbaar, in de zin dat ze de data wel lijken te verwijderen.
Reageer
Robbierut4 @honey25 februari 2026 22:39
Op korte termijn niet nee. Maar als nooit iemand meer betaald is de incentive voor de hackers weg om je proberen af te persen met gestolen data.

Dan is het ofwel data verkopen aan de hoogste bieder (waarschijnlijk veel lagere opbrengsten) of gewoon stoppen met je hackersgroep.
Reageer
jurroen @Robbierut425 februari 2026 23:40
Sorry, maar:
hackersgroep.
Ransomwaregroep.
Reageer
MaltheseFalcon @honey25 februari 2026 23:56
Ja, je beloont criminaliteit, maar je gaat door niet te betalen deze vorm van criminaliteit niet verminderen
Criminaliteit manifesteert zich daar waar financieel gewin is. Deze hack is ook financieel gemotiveerd.
Tot nu toe zijn de meeste hackers-groepen wel betrouwbaar, in de zin dat ze de data wel lijken te verwijderen.
Deze "betrouwbaarheid" is niets anders dan financieel gemotiveerd. Met je argument weeg je de belangen van de slachtoffers van deze hack zwaarder dan de langetermijnbescherming van onze maatschappij. Maar je stelt dan ook dat het niet betalen deze vorm van criminaliteit niet verminderd. Dit vind ik niet logisch. Hackers die financieel gemotiveerd zijn, zullen hun energie niet richten op hacks waar niks valt te halen.
Reageer
lucatoni @MaltheseFalcon26 februari 2026 08:48
En deze hack levert niks op wanneer Odido niet betaald? Dat is wel heel simplistisch gedacht. Gaan altijd geruchten dat landen als China, Rusland dit soort hackers financieel steunen. Daarnaast zijn er vast genoeg scammers die deze data willen kopen wanneer Odido niet over de brug komt. Kortom, het is echt heel kort door de bocht om te denken dat deze hack organisaties stoppen met hacken wanneer niemand meer betaald.

[Reactie gewijzigd door lucatoni op 26 februari 2026 08:50]

Reageer
honey @MaltheseFalcon26 februari 2026 19:39
Theoretisch zul je gelijk hebben, maar het probleem is dat er altijd bedrijven zijn die wel betalen. Niet ieder bedrijf kan het zich veroorloven om een moreel standpunt in te nemen. Tenzij niemand betaald, is het een afweging van voordelen en nadelen. Gezien de omvang en de gevolgen van de mensen, zou betalen logisch zijn. Desnoods vraag je alle klanten een donatie van €0.50. Ik denk dat de meeste mensen dat bedrag graag betalen.
Reageer
johanneslol @MaltheseFalcon25 februari 2026 21:25
Laat me raden het gaat niet om jou data die er tussen zit? Ik vind dit persoonlijk echt heel erg dat er zoveel gelekt is en dat ze nog doen alsof het ze niks interesseert
Reageer
MaltheseFalcon @johanneslol25 februari 2026 23:58
Ik ben klant van Odido. En als klant wil ik niet dat mijn gegevens op straat komen te liggen, maar als burger maatschappij heb liever dat Odido niet buigt voor afpersers.
Reageer
Santeri @MaltheseFalcon26 februari 2026 11:41
mooi geformuleerd, compliment!
helemaal eens en in dezelfde situatie, hoewel ik volgens de mail van Odido oud-klant ben. Helaas de incasso van deze maand toch al weer ontvangen ;-)
Reageer
EvolutionX @MaltheseFalcon26 februari 2026 08:26
"Dit gaat niet meer om alleen Odido"

De denkfout die je maakt is dat je denk dat dit alleen Odido treft..., dit treft miljoenen klanten.
Reageer
Audioot @MaltheseFalcon26 februari 2026 11:33
Odido betaalt geen losgeld, criminelen publiceren deel gestolen klantgegevens - https://nos.nl/l/2604072
Reageer
erny124 @FiberSam26 februari 2026 04:59
Sory dat ik op deze manier reageer.

Ik weet niet hoe ik dit anders moet doen

Tweakers zegt in dit artikel dat mensen die onder bewind staan in ernstige financiële problemen zitten.dit klopt niet. Bewind is voor mensen die zelf niet over hun geld kunnen beschikken, (dement geestelijk gehandicapt). De andere vorm met schuld heet volgens mij. Curatele.
Reageer
FlyingPineapple @erny12426 februari 2026 07:37
Het is simpeler: curatele is voor iemand die zijn sociale zaken ook niet (meer) zelf kan regelen. Je hebt dan eigenlijk een ‘voogd’ die jouw beslissingen neemt, terwijl je officieel meerderjarig bent.

Bij bewind heb je een ‘voogd’ die alleen over je financiën gaat en dit kan dus allerlei oorzaken hebben. Bijvoorbeeld schuld, maar ook zoals je zelf al zei dement of geestelijk gehandicapt.

De overheid heeft er een artikel over: https://www.rijksoverheid.nl/onderwerpen/curatele-bewind-en-mentorschap/vraag-en-antwoord/verschillen-curatele-beschermingsbewind-en-mentorschap

Het gaat in alle gevallen om (zeer) kwetsbare mensen.

[Reactie gewijzigd door FlyingPineapple op 26 februari 2026 07:39]

Reageer
66JustMe819 @FiberSam25 februari 2026 18:44
Als Odido klant zeg ik betalen. Risico voor de klanten minimaliseren zou prioriteit moeten hebben.
Reageer
SunnieNL @66JustMe81925 februari 2026 18:58
Nee, hackers groepen financieren zodat ze hierna bv kon kunnen gaan aanvallen. Dat klinkt als een goed idee. De data ligt op straat. Betalen heeft geen zin.
Als odido risico wilt minimaliseren dan moeten ze verzekeringen voor hun klanten afsluiten.
Reageer
marco-ruijter @SunnieNL25 februari 2026 19:53
Zo een verzekering vereist echt wel bepaalde security en infrastructurele maatregelen waarbij de kans vrij groot was geweest dat de omvang van nu nooit had plaatsgevonden.
Reageer
SunnieNL @marco-ruijter25 februari 2026 21:27
Geen verzekering voor odido maar voor de klanten die geraakt zijn. Een verzekering die jouw helpt als jij te maken krijgt met identiteitsfraude door dit lek. Dus als er ineens een rekening voor 40 Ferrari's op je deurmat valt, die je dan helpen met de juridische kant om dat weer ongedaan te maken. Zaken die normaal je veel tijd en stress (en vaak ook geld) kost.
Reageer
Xerpan @SunnieNL26 februari 2026 08:27
Het probleem is dat jij moet bewijzen dat de schade door het lek bij Odido is gekomen. Dat is vrijwel onmogelijk. Voor bedrijven als Odido is er reputatieschade en schade door weglopende klanten. Financiëel valt dat blijkbaar mee ten opzichte van verzekeringen tegen hacken en claims afsluiten. Dus doen die bedrijven dat verzekeren niet en heeft beveiliging ook niet echt prioriteit. Odido gaat waarschijnlijk niet betalen en accepteert de reputatieschade en eventueel weglopen van klanten. Zal wel weer aftrekbaar zijn te maken ook.
Reageer
SunnieNL @Xerpan26 februari 2026 08:48
Dat is niet waar. Zo'n verzekering helpt je bij alle identiteitsfraude, ongeacht waardoor het ontstaan zou zijn.

Ik heb al twee keer zo'n verzekering gehad. Eerst door de hack bij Sony en later door de hack bij een wereldwijde hotelketen.

Helaas heb ik in de jaren na die laatste een paar keer de verzekering moeten aanspreken, zonder dat ze daar vragen over gesteld hebben om bewijs te leveren dat het daar vandaan kwam.


Let wel: dat zijn geen schadeverzekeringen. Zo'n verzekering is meer juridisch.

[Reactie gewijzigd door SunnieNL op 26 februari 2026 08:49]

Reageer
marco-ruijter @SunnieNL25 februari 2026 21:40
Ah zo, excuus verkeerd begrepen.
Reageer
mbbs1024 @SunnieNL26 februari 2026 03:14
Het probleem daarbij is de bewijslast.
Je zal moeilijk tot niet kunnen bewijzen dat identiteitsfraude of phishing op iemand, het rechtstreekse gevolg is van de Odido of andere hack.
In zo een geval zal een verzekeringsmaatschappij of een rechter geen schadevergoeding toekennen, omdat er meestal geen sluitend bewijs zal zijn.
Reageer
SunnieNL @mbbs102426 februari 2026 08:18
Zo'n verzekering geeft dan ook geen vergoeding. Zo'n verzekering helpt je bij de problemen en die op te lossen. Het is geen schadeverzekering.
Reageer
937mako @66JustMe81925 februari 2026 21:43
Hier laat Odido natuurlijk een risk assessment op los nou. Risico = kans x impact. De kans dat de data online komt als je niet betaalt is 100%. Maar wat is de kans dat de data online komt als je wel betaalt? Ik denk niet heel veel minder dan 100%. Na het betalen heb je geen enkele garantie dat de data niet online komt. En wat is de impact (in euros, want daar gaat het Odido en elk ander bedrijf om)? Nu is natuurlijk gewoon de vraag of de minimale afname in kans na betalen het het geld waard is. Waarschijnlijk niet. Grote kans dat er niet betaald wordt en dat is eigenlijk ook gewoon best practice.
Reageer
Sluuut @937mako26 februari 2026 09:10
Ik denk niet heel veel minder dan 100%

Dat is waar de reputatie van de groep bij komt kijken. In het geval van ShinyHunters hebben deze in het verleden een dataset die betaald was, toch daarna nog (via een alias of aftakking) verkocht.

Bij andere afpersingen hebben ze weer niet de data gelekt na het betalen van losgeld.

Dus de kans dat dit gebeurd is zeker aanwezig in dit geval, geen 100% maar inderdaad niet veel minder dan dit.

Niet zo slim van ze om na het betalen toch nog data te verkopen/lekken, want dat is natuurlijk enorme reputatieschade. Als ze zich aan hun afspraken houden en de data verwijderen dan is de kans dat ze onder hun naam voor nieuwe datasets ransom geld krijgen groter.

Los hiervan ben ik er volledig tegen om voor gelekte datasets te betalen. Je geeft deze mensen geld, en dus zien ze dat ze ermee kunnen verdienen en dus gaan ze ermee door, vragen vrienden om mee te doen, stoppen meer tijd/resources in het 'hacken'. Als er een wet zou zijn om nooit losgeld voor data te betalen (met straffen daarop als dit wel gebeurd) dan zou dit veel sneller stoppen, denk ik.

[Reactie gewijzigd door Sluuut op 26 februari 2026 09:12]

Reageer
heerhaan @Sluuut26 februari 2026 09:46
De leden van een groep zijn nu niet bepaald bekend dus het is best makkelijk om een volgende aanval dan on een andere naam te doen.
Reageer
Sluuut @heerhaan26 februari 2026 10:00
De leden niet, maar de manier van 'hacken' en de patronen daarin wel. Daarom krijgt een groep ook vaak een 'tag' zoals APT28 bijvoorbeeld.
Reageer
Mizgala28 @66JustMe81925 februari 2026 18:51
Ik snap de mensen die zeggen "niet betalen" deels wel... maar 8 miljoen mensen hun gegevens is extreem.

Betalen, zo'n hack groep wil geld verdienen en je niet aan de afspraken houden bijt hun op ten duur terug (want waarom betalen als ze niks wissen)

En ja ik snap dat meeste mensen dan zeggen "en wie houdt ze tegen om het niet te wissen na een betaling?", antwoord is niemand behalve hunzelf intern.

En dan is zo'n lid die de fout maakte waarschijnlijk het ergst mogelijk vanaf.
Reageer
hbvdh @Mizgala2825 februari 2026 19:51
Ook bij betalen word er meestal niet gewist. Vaak verspreiden (verkopen) ze dan toch nog wat data wat niet rechtstreeks aan de hack zelf te linken is.

Wat mijzelf betreft hb ik een dubbel gevoel, aan de ene kant misdaad moet niet lonen, aan de andere kan ook mijn gegevens zijn gelekt. Gelukkig voor mij heb ik mijn ID en Rijbewijs vorig jaar vernieuwd maar mijn bank niet. Ik zou ook niet weten welke ik gebruikt heb bij het aanvragen van mijn abonnement.
Het zou mijn inziens ook mogelijk moeten zijn dat je dat terug kan zien bij je mijn odido gegevens.
Reageer
asset185 @66JustMe81925 februari 2026 19:05
Ik denk dat de directie eerder gevoelig is voor de balangen van hun investeerders dan van hun klanten.
Reageer
Senaxx @asset18525 februari 2026 22:27
Ja ben toch stiekem benieuwd of het uitstellen van de beursgang hier mee te maken heeft. Dat kunnen ze nu wel vergeten. Dit gaat ze linksom of rechtsom geld, klanten en reputatie kosten.
Reageer
whiner @Senaxx25 februari 2026 22:51
Als odido niet betaald en de hackers zijn echt evil, dan geven ze het pas vrij wanneer odido de beurs op gaat.
Reageer
redbullzuiper @66JustMe81926 februari 2026 03:28
En volgendeweek hacken ze, mede dankzij het geld, de bank waar jij bij zit. Beginnen we weer opnieuw, niet betalen betekent dat de kans steeds kleiner wordt op nieuwe hacks.

P.S. ik weet dat het geen echte hack was, maar ik noem het voor het gemak gewoon even hack.
Reageer
Russel88 @FiberSam25 februari 2026 18:34
Wat denk jezelf?

Als jij de dief bent en Odido betaalt je. Wat weerhoudt je dan om de gegevens alsnog te verkopen?
Reageer
MennoE @Russel8825 februari 2026 18:36
Dat je bij de volgende diefstal je niet betaald krijgt.
Reageer
phYzar @MennoE25 februari 2026 19:00
Alsof ze een langlopende reputatie hebben. Had jij al eens van de Shinyhunters gehoord? Volgende keer noemen ze zichzelf de GreasyFarmers en betaalt de volgende sukkel weer het volle pond.
Reageer
FiberSam @phYzar25 februari 2026 19:30
eeuh... dit is een bekende en al lang bestaande hackerscollectief die juist heel hard heeft gewerkt aan een 'goede' (ahum) reputatie. Als je betaalt, vernietigen ze alles. Juist precies omdat door deze reputatie men eerder geneigd is te betalen. Dit net zo goed een zakelijk verdienmodel als crimineel.
Reageer
SunnieNL @FiberSam26 februari 2026 08:56
Mwah.. De reputatie is maar waar je naar kijkt...

https://blog.unit221b.com/dont-read-this-blog/harassment-scare-tactics-why-victims-should-never-pay-shinyhunters
Reageer
Malarky @FiberSam25 februari 2026 20:39
Natuurlijk vernietigen ze het niet. Ooit, misschien dit jaar al doen ze een finale exit scam en verkopen ze alle gegevens alsnog. Het zou totaal onlogisch zijn als ze deze gegevens vernietigd hebben. Dat zouden zelfs jij en ik niet doen als hackers zijnde.

Enige wat ze qua reputatie niet doen is het nu niet verkopen.

[Reactie gewijzigd door Malarky op 25 februari 2026 20:40]

Reageer
Robbierut4 @Malarky25 februari 2026 22:43
Ik ben het opzich met je eens hoor. Aan de andere kant, data van 5 jaar geleden is toch een stuk minder risicovol.

Er is een redelijke kans dat over 5 jaar een deel van de gegevens niet meer klopt. Ofwel zijn mensen verhuisd, hebben een nieuw paspoort, misschien een ander telefoonnummer. Heck, zelfs de naam kan veranderd zijn, zeker als mensen in die tijd zijn gaan trouwen.
Reageer
asset185 @phYzar25 februari 2026 21:02
Feit is wel dat je niet meer kunt vertrouwen of je gegevens niet door iemand misbruikt worden.
Wanneer Odido wel betaald kan er nog steeds van alles met je gegevens gebeuren.

Niet betalen geeft zo of zo een groot drama. Bijna de helft van de Nederlanders zit in het lek. En al deze mensen moeten om maar 1 ding te noemen hun bankrekening in de gaten houden op onterechte afschrijvingen.
Reageer
JacOwns7 @phYzar26 februari 2026 08:32
In de Cybersecurity wereld is Shinyhunters een behoorlijk grootte speler waar je wel van gehoord hebt.
Reageer
MaikVeritas @Russel8825 februari 2026 18:39
Ik heb wel eens gelezen dat dit soort hackers groepen zich juist houden aan de afspraken omdat anders hun verdienmodel verwijnt.
Reageer
redbullzuiper @MaikVeritas26 februari 2026 03:31
Tja, ook maar 'ergens gelezen'. Ik kan je garanderen dat veel gegevens alsnog te koop worden aangeboden via het darkweb. Omdat er giga veel geld valt te verdienen met data, denk aan phishing of reclame, de handel hierin is heel lucratief. De hackers zetten er uiteraard niet bij waar die gegevens vandaan komen, uiteraard verhandelen ze onder een andere naam die niet te herleiden valt. Ze kunnen de dataset natuurlijk ook makkelijk filteren, zodat gegevens die herleidbaar zijn naar de bron worden gefilterd.

[Reactie gewijzigd door redbullzuiper op 26 februari 2026 03:33]

Reageer
SunnieNL @MaikVeritas25 februari 2026 18:56
Niets weerhoud dit soort hackers groepen de data te bewaren of onder water door te verkopen aan een andere groep. Niet te bewijzen, niet terug te tracen.

Dat ze het niet openbaar maken wilt niet zeggen dat bv een ander onderdeel van diezelfde groep gewoon de mensen in de dataset gaat benaderen met phishing berichten.
Reageer
Jerie
@MaikVeritas25 februari 2026 19:03
Yep, maar de vraag is welke groep erachter zit, en onder welke jurisdictie ze vallen. Bij een bekende groep geldt jouw stelling. Een onbekende groep heeft geen naam hoog te houden, en een Russische groep kan het ook verkopen aan Russische diensten. Qua Rusland is alle data zo'n beetje te koop op darknet, ook van FSB medewerkers, en dat is te betalen met cryptocurrency. Zo kun je van nagenoeg iedere Rus privégegevens verkrijgen.

Dus de vraag moet je 'betalen ja of nee' kun je niet eenvoudig beantwoorden. Wat is het geëiste bedrag, hebben ze een legacy, waar zitten de hackers, hoe willen ze de betaling ontvangen, is het systeem nu dicht of krijg je copycats? Hoe dan ook wil je tijd kopen. Tijd om een en ander uit te vogelen want van eerdergenoemde vragen zal men niet per definitie openheid geven. Dus zul je dat moeten onderzoeken.

[Reactie gewijzigd door Jerie op 25 februari 2026 19:06]

Reageer
Mizgala28 @Russel8825 februari 2026 18:41
Niks

Maar als je geld wil verdienen als een hackgroep ben je er beter van af als je alles wel verwijdert na een betaling, dan zijn bedrijven eerder geneigd om te betalen omdat "die hackgroep het dan echt gaat verwijderen".

Liegen levert zo'n hackgroep sowieso niks op.
Reageer
PixelPionier @FiberSam25 februari 2026 19:02
Er zou gevangenisstraf voor de directie op moeten staan als ze betalen. Dan zou Nederland een stuk veiliger worden voor dit soort criminelen.
Reageer
brammerd21 @PixelPionier25 februari 2026 19:36
Eens, als je als hackers groep vooraf weet dat een afpersing niet gaat lukken, hoef je daarvoor ook niet je best te gaan doen.


Data via andere middelen verkopen blijft natuurlijk een oplossing, maar kennelijk is dat de makkelijkste of meest winstgevende.
Reageer
R4gnax
@brammerd2125 februari 2026 21:44
Eens, als je als hackers groep vooraf weet dat een afpersing niet gaat lukken, hoef je daarvoor ook niet je best te gaan doen.
In dat geval gaan ze meteen voor veiling van de gegevens op het dark web. Hoeven ze de getroffen partij niet eens in te lichten. En zolang die dan niets door heeft kunnen ze in het systeem blijven zitten en data blijven verzamelen om te verkopen.

Kwestie van wat ze oppikken afdoende ver schoonschrobben voordat ze het wegveilen, zodat de bron niet te herleiden is. En ze kunnen er heel lang van plukken. En niemand weet van iets. Dan weet jij als consument dus ook gewoon niet dat je meer alert moet zijn. En je weet ook niet waarop - want je weet niet wat er voor gegevens gestolen zijn over je. Ja - tenzij je een dienst afneemt die alles voor je monitort op het dark web.

Data op die manier veilen levert natuurlijk niet zoveel op als een bedrag proberen af te persen. Het duurt dus lang voordat een hackersgroep een zelfde cumulatieve winst er uit gemaakt heeft. Afpersen is dan veel lucratiever in één grote korte knal, en weegt daarmee op tegen het verlies van verdere toegang (omdat je prijs geeft dat je in de systemen zit en er dus uitgeschopt gaat worden).


Het afpersingsmodel ontmoedigen door niet te betalen klinkt in beginsel slim. Maar het heeft dus ook zo z'n schaduwkant.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:46]

Reageer
Bux666 @PixelPionier26 februari 2026 11:06
Er zou gevangenisstraf voor de directie op moeten staan als ze betalen.
Wat mij betreft ook: 'Er zou gevangenisstraf voor de directie op moeten staan als ze laks, laakbaar en onwetend met privégegevens van hun klanten omgaan.'.
Reageer
MineTurtle @FiberSam25 februari 2026 20:51
Niet betalen. Zolang mensen en bedrijven zich af blijven laten persen, blijft het voor criminelen lucratief om dit soort praktijken te voeren. Met dat geld kan vervolgens weer andere criminaliteit gefinancieërd worden.

[Reactie gewijzigd door MineTurtle op 25 februari 2026 20:51]

Reageer
JohnD1 @MineTurtle26 februari 2026 07:56
verplicht niet betalen, maar ook Odido een boete geven van ongeveer hetzelfde bedrag.
Als dat niet gebeurd, dan hebben bedrijven ook geen reden om te veranderen hoe ze de gegevens opslaan.
Reageer
Upr0ar @FiberSam25 februari 2026 19:59
Inmiddels is bekend dat het 'losgeld' om een half miljoen euro gaat.

Voor de omvang van deze hack vind ik dat een 'steal'. Verbaast me zelfs dat ze zo relatief weinig vragen.

Niet dat ik zoveel geld heb. :+ Maar voor een bedrijf als Odido is dat peanuts. Dus ik zeg betaleng - de mogelijke schade die eruit kan voortvloeien als alle gegevens op het darkweb gemieterd worden, ligt vele malen hoger.

Maar iets zegt mij dat Odido dat niet gaat/wil ophoesten.

[Reactie gewijzigd door Upr0ar op 25 februari 2026 20:00]

Reageer
YGDRASSIL @FiberSam25 februari 2026 23:22
Nooit betalen. Je beloont dan slecht gedrag. En de kans dat je later weer afgeperst wordt is levensgroot.
Reageer
Robbierut4 @FiberSam25 februari 2026 18:35
Als Odido klant, niet betalen maar dat geld investeren in betere beveiliging. Beetje mosterd na de maaltijd maar toch.
Reageer
familyman @Robbierut425 februari 2026 18:54
Als niet odido klant wiens gegevens al heel lang geleden verwijderd hadden moeten zijn, haalt het me niks uit.

Die club moet opgeheven worden.
Reageer
R_Zwart @familyman25 februari 2026 18:59
Dat laatste klinkt altijd stoer maar hie ga jij reageren als er iets goed fout gaat bij jouw werkgever en de boel miet worden opgeheven en jij zonder iets op straat staat? Er werken duizenden mensen bij Odido die hun baan kwijtraken als je de boel naar gewoon gaat sluiten.
Reageer
familyman @R_Zwart25 februari 2026 19:09
Opbreken en verplaatsen naar bedrijven die de data bescherming wel op orde hebben.

En er is best een berg mensen bij odido die een berg boter op hun hoofd hebben, voor een deel zelfs randje crimineel wat mij betreft.

Verder, er zijn banen zat. Dus mensen die niet crimineel zijn, en niet boter hun hoofd hebben, komt het wel gled.

[Reactie gewijzigd door familyman op 25 februari 2026 19:10]

Reageer
jurroen @Robbierut425 februari 2026 23:44
"Oh, je bemt net aangereden door een auto? Hier heb je een gratis cursus 'veilige verkeersdeelname' - maar die whiplash en de blijvende gevolgem daarvan gaan we zeker niet betalen. Toedels!"
Reageer
dwarfangel @FiberSam26 februari 2026 01:42
Dit is een gewetensvraag.

Maar ik zeg betalen, ze willen Bitcoin hebben. Top dus. Het gaat misschien even duren, maar een miljoen euro aan bitcoin raak je niet zomaar even kwijt. Platforms als Tornado cash etc kunnen evt nog ingelicht worden, en medewerking gevraagd om de transacties te herleiden.

Ergens las ik de vergelijking met een echt persoon. Dan zijn er 3 opties, maar in de regel wordt er dan ook betaald. Daarmee koop je ook tijd - en geld.
Verder is het Odido eigen domme schuld, om zoveel data onversleuteld aan elkaar te knopen. Door niet te betalen leggen ze het probleem bij de klanten neer.
Reageer
rickbeerendonk @FiberSam26 februari 2026 02:33
Sponsor de volgende hack door te betalen. Niet sterk. Het idee dat je dit geïsoleerd kunt bekijken is naïef.
Reageer
xilanaz @FiberSam26 februari 2026 04:34
Het is natuurlijk niet zo dat (in dit geval) odido de enige optie is voor deze criminelen. Er is natuurlijk ook het darkweb. Dus roepen niet betalen en een zelfs een wettelijke straf als je dat wel doet maakt het echt niet zo dat deze criminelen Nederland Links laten liggen, het maakt het alleen maar zo dat ze de data meteen aan andere gaan aanbieden.

Ik hoop echt dat het financieel een staartje gaat krijgen voor odido, of doordat ze gaan betalen of door een rechtszaak of door beide, misschien dat andere bedrijven dan eens wakker worden en hun data gaan opschonen en beter beveiligen want reken maar dat Nederland vol zit met bedrijven die veel meer data bewaren dan ze moeten of zelfs mogen.
Reageer
KidPaddle @FiberSam26 februari 2026 08:09
onderhandelen voor de prijs - want zo opportunistisch zijn die hackers wel. Daarna betalen.

Je kan wel heel principieel zijn hierover maar het gaat om gegevens van heel veel klanten die gegijzeld zijn.
Daarnaast dient er een onderzoek te komen of dit niet ook deels oor nalatigheid is, en zodoende Odido nog een boete op leggen.
Reageer
thahajemnireal @FiberSam26 februari 2026 08:49
Odido leiderschap strafrechtelijk vervolgen incl. medewerkers die verantwoordelijk zijn voor het lekken van de informatie.

Daarnaast hackers niet betalen, en minimale gevangenisstraf van 10 jaar op gebruik van data uit datalekken (denk cold-calling).

Hard? Zeker. Is een keer tijd dat er daadwerkelijk opgetreden wordt tegen deze criminaliteit.
Reageer
Earth_Apple @FiberSam26 februari 2026 10:22
Ik zou zeggen niet betalen, omdat de klantendata al verspreid lijkt te zijn. De hoeveelheid spam belletjes zijn voor mij de afgelopen weken al significant gestegen, ik krijg er meerdere per dag nu.
Reageer
Bodyshock @FiberSam28 februari 2026 22:42
Betalen. Door Odido's nalatigheid en lak aan privacy- en datawetten ligt dit allemaal op straat nu. Het argument "als je betaalt draag je bij aan het verdienmodel van dit soort hackers" is kortzichtig omdat specifiek deze groep betrouwbaar is gebleken in hun afspraken data niet verder te publiceren na betaling. Als je geen enkele hacker meer betaalt dan zal het hacken niet stoppen, maar verschuift enkel het verdienmodel naar het verkopen van de data aan wie dan ook, want die is immers nog altijd waardevol. Al is het betalen van hackers verboden, of het nou ransom is of aan de achterkant data kopen, het hacken stopt niet.

Ransom betalen is in dit geval dus vele malen beter omdat het serieus schade beperkt van enorm veel klanten.
Reageer
Bestseller 25 februari 2026 18:29
Zo zie je maar weer dat Odido vooral bezig was met het beperken van imagoschade en voorkomen dat ze een schadevergoeding moeten betalen. Zelfs als dat betekent niet goed informeren/onderzoeken welke gegevens gelekt zijn.
Reageer
gezoutenpinda 25 februari 2026 18:32
Toch bijzonder allemaal....

Dat er van uit gaande dat ze binnenkwam met medewerkers accounts, uit ervaring bij KPN weet ik dat er trigger afgaat wanneer je klantenprofielen opent waar je niets te zoeken hebt en dit meerdere keren gebeurd. Werd direct in mijn training aangesproken hierop toen ik mijn ouders hun account erbij pakte en op de gevolgen. Ook waren er regelmatig neppe mails om te checken of we op linkjes zouden drukken.


Ook kun je in het gebruikte crm van odido gewoon limieten aangeven en een boel dichtkaderen.... dit klinkt echt als mismanagement door mensen met de verkeerde ervaring op de verkeerde plekken.


Persoonlijk maak ik me er niet zo druk om, is het niet via odido dan is het wel via andere partijen waarbij mijn data uitlekt of uitgelekt is.
Reageer
hiostu @gezoutenpinda25 februari 2026 18:46
Het kan natuurlijk zijn dat ze initieel binnen zijn gekomen via medewerker account, maar dat ze daarna op andere manieren hun rechten hebben kunnen verhogen en zo met meer permissies exports konden draaien. Als dit niet het geval is, dan moet ik je wel gelijk geven en lijkt het erop dat medewerkers al teveel en makkelijk kunnen zien.
Reageer
Calypso @hiostu25 februari 2026 18:56
Theoretisch heb je gelijk. Echter, als via een klantenservice medewerker dat soort rechten te verkrijgen/uit te delen zijn, dan heb je nog steeds een flink probleem...
Reageer
marco-ruijter @Calypso25 februari 2026 19:05
Ik denk dat er zelfs een nog groter probleem is: als iemand zonder security officer- of engineer-rechten toch rechten kan aanpassen. Ik vind het echt absurd dat er geen alarm is afgegaan toen er onder één account zoveel data werd ingelezen of opgevraagd. Ik heb bij genoeg, zelfs veel kleinere bedrijven gezeten waar het opvragen van meer dan vijf klantgegevens al tot een blokkade leidde en er direct een alert naar de betreffende managers werd gestuurd.

Natuurlijk kan het voorkomen dat een agent meerdere klantgegevens per dag moet inzien, maar alsnog geen honderden, laat staan 6,5 miljoen.

Als er bepaalde data verzameld moest worden, dan moest daar echt een officiële opdracht voor worden ingediend. Bovendien was het slechts gedurende een zeer beperkte periode mogelijk om een uitdraai te maken. Zulke aanvragen konden alleen worden gedaan namens specifieke personen binnen de organisatie en met de juiste autorisatie.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 19:08]

Reageer
jurroen @marco-ruijter25 februari 2026 23:31
Het probleem is ook dat grotere organisaties / enterprise markt soms te gesegmenteerd is. Ik heb gewerkt aan systemen waar zeer gevoelige data van miljoenen Nederlanders in staat. Een kleinere club.

Daar waren wel allerlei processen en als een medewerker van support ook maar één ding bekeek waar de persoon niets mee te maken had gingen alle alarmbellen af.

Maar... als senior sysop zou ik met wat vernuft en slechte intenties een kopie vam alles kunnen maken en die data meesmokkelen op een extern ding (schijf, geheugenkaart, etc) en de logs zo aanpassen dat er niets terug te vinden was. Of dat het zou leiden naar een andere 'boosdoeer'.

Dat kan inmiddels gelukkig niet meer. Immutable logging, encryptie, alarmbellen die afgaan en meer.

Het enge is wel dat dit bij grotere organisaties vaak anders is. Die zijn soms zelfs zo groot dat collega's van elkaar niet weten waar ze mee bezig zijn. Of dat de druk zo hoog ligt dat de incentive om het verkeerd te doen veel te hoog ligt.

Beveiliging en de fundamentele principes van privacy zouden nooit een achteraf dingetje mogen zijn, maar een integraal onderdeel van de architectuur. En mijn inziens is dat bij Odido zéker niet het geval geweest.
Reageer
YGDRASSIL @marco-ruijter25 februari 2026 19:55
kan ook zijn dat ze een database backup hebben weten te bemachtigen. Heb je weinig permissies meer nodig om alle data in te zien...
Reageer
marco-ruijter @YGDRASSIL25 februari 2026 20:08
Als je te maken hebt met een database waarin gevoelige data staat, en het betreft zelfs meer dan 6,5 miljoen klanten, dan is het maken van unencrypted backups op zijn minst zeer zorgwekkend te noemen. Daarnaast zorg je er als fatsoenlijke IT-afdeling voor dat je in het ontwerp van de data en databases Tokenization of Pseudonimisering toepast.

De database waarin de daadwerkelijke persoonsgegevens staan, zou nooit zomaar gekopieerd moeten kunnen worden, laat staan in de vorm van unencrypted backups.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 20:09]

Reageer
R4gnax
@YGDRASSIL25 februari 2026 21:52
Het was al bekend dat ze via de web-interface v/h CRM alles record voor record gescraped hebben.
Reageer
jurroen @R4gnax25 februari 2026 23:38
Creatief bedacht van de aanvallers, maar bizar slecht dat het kan. Geen enkele medewerker, leidinggevende of zelfs management zou toegang mogen hebben tot alle records die er zijn.

En zelfs dan, blijkbaar was het dus ook nog eens mogelijk om die gegevens lsngzaam te harvesten en vervolgens te exfiltreren. Zonder dat alarmbellen afgaan, zonder dat automatisch processen werden stopgezet.

En niet alleen dat, ook al het feit dat er gegevens in stonden die de bewaartermijn volgens de voorwaarden / overeenkomst ruimschoots schenden. Hier was geen sprake van data minimalisatie, maar maximalisatie. En dat zet wel aan het denken hoe krankzinnig het interne beleid was, met alle gevolgen van dien.
Reageer
PdeBie @Calypso25 februari 2026 19:02
Misschien zat er wel een bug in het systeem dat het niet uitmaakte welke rol je had, zolang het maar een account betrof. Allemaal speculaties. Security was niet op orde en daarmee is er een hoop data gestolen.
Reageer
PixelPionier @Calypso25 februari 2026 19:04
Tel daarbij op dat ze zich ook gewoon niet aan zo iets simpels als bewaartermijnen hebben gehouden en je weet dat het 1 groot mismanagement verhaal is.
Reageer
hiostu @Calypso25 februari 2026 19:09
Stap 1 is binnen komen in een omgeving en daarna mogelijk via exploits in systemen hogere permissies krijgen. Dat is een vrij normale gang van zaken voor hackers. Dat is dus ook niet volgens de normale gang van zaken.
Reageer
latka @hiostu25 februari 2026 19:53
Aangezien odido niet wist wat er gestolen was is de logging al ondermaats. Zou me niets verbazen als iedere gebruik admin rechten heeft in een dergelijke security unaware omgeving.
Reageer
n00bs 25 februari 2026 18:25
SCHANDELIJK! dat je dergelijke gegevens opslaat in vermoedelijk een ticketsysteem. Totale onkunde, ik baal dat ik mij heb laten overhalen met goede verhalen over Odido na jarenlang een professionele Ziggo.

Zodra ik kan is mijn contract opgezegd bij Odido
Reageer
dutchgio @n00bs25 februari 2026 18:31
Op zich juist logisch om dat bij een ticket te vermelden en je dus ook terug kunt lezen bij andere cases van dezelfde persoon. Alleen komt het nu slecht uit nu het gelekt is.
Reageer
hmartino @n00bs25 februari 2026 18:27
Hoe zou dit dan wel moeten? Je moet het toch ergens noteren?
Reageer
n00bs @hmartino25 februari 2026 18:29
Je hoort en mag dergelijke gegevens niet opslaan! wanneer een klant een kut periode heeft of zich achterlijk gedraagt aan de telefoon of in de winkel is het niet aan een telecomprovider zich deels als agent op te stellen!


het mag simpelweg niet! -> Artikel 9 van de AVG

[Reactie gewijzigd door n00bs op 25 februari 2026 18:33]

Reageer
Powerblast
@n00bs25 februari 2026 18:34
Het is wel wat dubbel vind ik. Pas op de ex doet zich voor als… is toch ook een beetje je eigen medewerkers en je klanten beschermen voor misbruik. Iemand die de boel kort en klein slaat wil je ook wel ergens noteren. Of de volgende winkel medewerker heeft voor het zelfde geld een blauw oog. Ik keur niet alle opmerkingen goed, maar ze moeten toch ergens bewaard worden.

Geen idee wat de wet hierover zegt, maar het zou me niet verbazen dat dit gewoon toegestaan is.


Denk persoonlijk dat ze bij odido er beter vanuit gaan dat alles op straat ligt.

[Reactie gewijzigd door Powerblast op 25 februari 2026 18:36]

Reageer
R4gnax
@Powerblast25 februari 2026 21:06
Geen idee wat de wet hierover zegt
De wet zegt middels AVG artikel 10 daarover dat verwerken van gegevens over strafbare feiten en daaraan gerelateerde veiligheidsmaatregelen enkel met passende waarborgen mag.

In een online landsbreed CRM systeem noteren dat een klant dreigingen heeft geuit in één bepaald fysiek winkelfiliaal, valt daar denk ik niet onder. Dat is een aangelegenheid voor dat lokale filiaal. En kan perfect afgehandeld kan worden doordat de filiaalhouder binnen besloten kring de lokale medewerkers inlicht en een signalement van deze persoon verstrekt. Dat houdt de impact zo klein mogelijk.
Reageer
PCG2020 @R4gnax25 februari 2026 22:35
Ik mag aannemen dat de filiaalhouder daarnaast aangifte heeft gedaan bij de politie.

Die "passende waarborgen" waar het in AVG artikel 10 over gaat, kan ook een apart register zijn waarin dergelijke klanten wel zijn vastgelegd, maar dat alleen door een kleine groep medewerkers met toegang daartoe kan worden ingezien. In het algemene CRM staat bijvoorbeeld een rood uitroepteken bij die klanten, zodat een algemene medewerker die klant dan kan doorzetten naar een gespecialiseerde collega.

Uiteraard moet er dan ook niet op de aanwezigheid van een rood uitroepteken in het CRM gezocht kunnen worden: dat zou pas tevoorschijn moeten komen bij het invoeren van een aantal klantgegevens.
Reageer
R4gnax
@PCG202025 februari 2026 23:12
Ik mag aannemen dat de filiaalhouder daarnaast aangifte heeft gedaan bij de politie.
Als ze echt over de schreef zijn gegaan en met geweld gedreigd hebben of zoiets; uiteraard.

Maar dit soort zaken heb je in verschillende soorten en maten.
Ik heb ook wel eens verhalen meegemaakt van mensen die terug moesten met een defect geleverd product waar de winkel dreigde de politie in te schakelen omdat ze zich bedreigd voelden toen er simpel gezegd werd dat ze zich "niet op die manier laten naaien" nadat de winkelbediende hen af had proberen te poeieren met de politiek correcte versie van: "zoek het maar uit; jouw probleem."
Reageer
n00bs @Powerblast25 februari 2026 18:39
Ja ik snap je punt, ik richt zelf dergelijke systemen in dus ik neem aan dat ik weet waar ik het over heb.
Vroeger was dit inderdaad geen punt en werden dergelijke gegevens vaak in "helpdesk-systemen" opgeslagen als aantekening bij klanten of zelfs in tickets. Maar die wetgeving is allang gewijzigd en je mag dit niet opslaan. En anders zal je echt bij bij gods gratie uitzondering moeten aanvragen en goed onderbouwen. Ik geloof werkelijk niet als ik de rest van de communicatie zie, dat Odido dit ooit heeft gedaan.
Reageer
asset185 @n00bs25 februari 2026 18:51
Gelukkig dat dit niet meer is toegestaan. Want wat heeft een internetprovider er mee nodig dat Pietje door een moeilijke periode gaat? Dat Jantje dronken over komt aan de telefoon? En dat Klaasje een winkelverbod bij een of andere telefoonwinkel heeft.

Als ik nu naar de klantenservice zou bellen op dit moment gaan ze dan loggen dat verkouden ben omdat ik zo klink?


Het zijn stuk voor stuk gegevens waar ze niks mee nodjg hebben en wat ook niet meer opgeslagen mag worden. En het laat wel even goed zien dat je heel erg op moet passen bij een joviale callcentermedewerker.
Reageer
jinx857 @Powerblast25 februari 2026 21:05
Wat denk je van 112 bellen bij een agressieve klant in de winkel?
Reageer
Knallmeister @n00bs25 februari 2026 18:30
Je hoort en mag dergelijke gegevens niet opslaan! wanneer een klant een kut periode heeft of zich achterlijk gedraagt aan de telefoon of in de winkel is het niet aan een telecomprovider zich deels als agent op te stellen!


het mag simpelweg niet!
Jurisprudentie?
Reageer
R4gnax
@Knallmeister25 februari 2026 20:57
Jurisprudentie?
Geen jurispredentie voor je, maar er moet middels artikel 5 van de AVG wel aan bepaalde normen voldaan worden. Zo moet er bij verwerking van gegevens sprake zijn van doelbinding. Je mag niet zomaar gegevens verwerken voor doeleinden anders dan waar deze origineel voor verstrekt waren. En wat je verwerkt moet ter zake dienend zijn en beperkt blijven tot wat er echt noodzakelijk is voor die beoogde (originele) doeleinden.

"Klant gaat door een moeilijke periode" of "klant lijkt onder invloed te zijn tijdens het bellen" valt daar absoluut niet onder. Ze doen aan customer support inzake het afhandelen van een klacht, of het inwinnen van advies. Ze doen niet aan life-coaching.

Dit soort zaken zou enkel relevant zijn indien er ook sprake is van aggressief gedrag en gevaar voor medewerkers, zoals het gegeven voorbeeld waar een klant uit de winkel is gezet na dreigementen te hebben geuit. Alleen is het dus wel zo dat in het geval van strafbare feiten of veiligheidsmaatregelen die aan de hand daarvan getroffen worden, artikel 10 van de AVG geldt: die gegevens mag je enkel verwerken onder toezicht van de overheid, of waar de nationale wetgeving dit onder passende waarborgen toestaat.

Open en bloot een centraal CRM systeem in mieteren is niet 'passende waarborgen.'
Passende waarborgen zou zijn besloten correspondentie vanuit een filiaalhouder aan de lokale medewerkers om op te passen indien persoon "Jan de Pet" met zo-en-zo postuur en evt. een foto erbij, weer opnieuw in de winkel verschijnt. En mogelijk licht je dan niet eens de normale commerciële medewerkers in, mocht er eentje dom genoeg zijn om de lokale held te gaan spelen - bijvoorbeeld, maar enkel het beveiligingspersoneel.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:00]

Reageer
Knallmeister @R4gnax25 februari 2026 21:02
Grappig, ik heb dit net aan een buurman van me (advocaat) voorgelegd en die oordeelt vanuit zijn expertise hier iets anders over.
Reageer
Zwatelaar @Knallmeister26 februari 2026 11:44
Nog grappiger:

De buurman van mijn zwager is (dominee), die heeft het aan de paus voorgelegd en die zei letterlijk en exact hetzelde: “ik oordeel hier iets anders over”.

Toeval of niet?

(een top discussie winnend argument, chapeau).
Reageer
mjtdevries @Zwatelaar26 februari 2026 16:39
Dat is wel heel toevallig ja, want katolieken hebben geen dominees, dus de kans dat een dominee iets aan de paus voorlegt is wel heeeeel erg klein ;)
Reageer
Zwatelaar @mjtdevries26 februari 2026 18:25
Dan zal het wel een rabbi zijn geweest :+
Reageer
PCG2020 @Knallmeister25 februari 2026 22:21
En hóe oordeelt die buurman er vanuit zijn expertise dan over? 😏
Reageer
PCG2020 @Knallmeister26 februari 2026 07:54
Wanneer je de stelling poneert dat jouw buurman die advocaat is er vanuit zijn expertise anders over oordeelt, is het de bedoeling dat je tenminste een plausibele samenvatting geeft van wat hij erover heeft gezegd. Want nu zegt jouw reactie namelijk helemaal niets, noppes, nada.
Reageer
n00bs @Knallmeister25 februari 2026 18:33
Artikel 9 van de AVG
Reageer
Student1563424 @n00bs25 februari 2026 18:44
Juist, ik hoop dat de AVG ook optreedt voor illegale data verzameling. Als arts mag ik zulke opmerkingen ook niet in het patientendossier vermelden. Dit lijkt mij ook zon geval! Je hoort te schrijven, life event, en verder NIKS.
Reageer
tfro71 @Student156342426 februari 2026 20:15
Wat een klets: er staan hele epistels in artsen notities. de werkelijke feiten, staat van de persoon (dronken is echt een life event), interpretatie van de arts, etc. advies, behandelwijze, etc.
Geef mensen een vakje en ze vullen het in hoor.
Reageer
Knallmeister @Student156342425 februari 2026 20:26
Ben je arts?
Reageer
Student1563424 @Knallmeister27 februari 2026 11:48
Ja, al 14 jaar geen student meer
Reageer
Knallmeister @n00bs25 februari 2026 18:58
Is in dit specifieke geval hierop niet van toepassing.
Reageer
Danny @n00bs25 februari 2026 19:07
Zou een website wel mogen opslaan dat een gebruiker 'kennelijk klimaatontkenner' is?
Reageer
Zwatelaar @Danny26 februari 2026 11:35
Hangt deels af van wat je met “een website” bedoelt.

Een website bestaat in het algemeen niet op zich, is onderdeel van een bedrijf/organisatie.

In dit nieuwsartikel gaat het over Odido en kan ik geen reden bedenken waarvoor dat relevant zou zijn.

Maar als de klant voor wat voor reden dan ook dat tijdens een gesprek gezegd heeft en jij een letterlijk verslag/transcriptie (of gespreksopname) opslaat, dan staat dat wel in je systeem.

Of dat een klant zelf dit intypt bij een contactformulier onder overig (moeilijk voor te stellen waarom een klant dat zou doen, maar kom de gekste dingen tegen).
Reageer
Danny @Zwatelaar26 februari 2026 12:49
for the sake of argument zou het gaan om een simpele website met nieuws en een forum. op basis van bepaalde comments maakt bv een moderator op dat de user in kwestie 'blijkbaar/kennelijk klimaatontkenner is' en vermeldt dat voor de overige moderators in een notitie bij de user. Ook wordt de user besproken in een topic achter de schermen. Of daar ook over de vermeende 'klimaatontkennerstatus' wordt gesproken is niet duidelijk.
Reageer
Zwatelaar @Danny26 februari 2026 13:11
Oké, just for the sake of argument, but still need more info.

Is het een nieuwssite met forum gericht op klimaat? Dan kan dit wel degelijk een doel dienen. (Denk aan Scientias, weet niet of die een forum heeft).

Is het een generieke nieuwssite, dan is een doel van deze info niet evident.

Wat je verder schrijft over besproken achter de schermen en onduidelijk is wat daar besproken is, is verder nonrelevante info in deze.
Reageer
Danny @Zwatelaar26 februari 2026 15:02
Het is een site die over tech gaat. Heeft niets te maken met het klimaat.
Reageer
Knallmeister @Danny25 februari 2026 19:32
Als dat niet zou mogen kunnen de meeste nieuwssites hun "deuren" wel sluiten. Dan mag je vast ook niet meer zeggen/schrijven dat iemand een klimaatdrammer is.
Reageer
Danny @Knallmeister25 februari 2026 20:40
Er is een verschil tussen publiekelijk zeggen of achter de schermen zoiets opslaan in bv notities bij klanten/gebruikers
Reageer
Knallmeister @Danny25 februari 2026 20:44
Ja, bij publiekelijk zeggen is de kans dat zoiets tot civiel/strafrechtelijke vervolging kan leiden veel groter dan bij het opslaan in zeg een CRM. Dat is uiteraard zeer evident.
Reageer
Danny @Knallmeister26 februari 2026 10:59
Het gaat erom of een bedrijf dat soort dingen over jou mag opslaan en verwerken, met het oog op oa de AVG natuurlijk. De AVG is je bekend neem ik aan?
Waarom zou - bijvoorbeeld - een online forum achter de schermen een notitie mogen bewaren bij jouw naam waarin staat dat je 'blijkbaar klimaatontkenner' zou zijn? of 'blijkbaar antifa-aanhanger'? of 'blijkbaar XR-activist'? Dat is informatie die niet alleen totaal irrelevant is, maar ook subjectief en sturend.
Reageer
Kabouterplop01 @Danny25 februari 2026 20:34
Dat ligt aan hoe ze aan die informatie komen en waarvoor het dient.

Aangezien ik me niet kan voorstellen dat er een doel is waarvoor dit NOODZAKELIJKERWIJS wordt verwerkt denk ik van niet.
Reageer
Danny @Kabouterplop0125 februari 2026 20:41
Nee, dat zou je denken inderdaad.
Reageer
dennis74 @n00bs25 februari 2026 18:49
Lijkt me niet echt relevant. Wat ik begrijp gaat het hier om gedrag van klanten in relatie tot Odido.
Artikel 9 gaat echter over het registreren van bijzondere categorieën van persoonsgegevens, zoals religie, politieke voorkeur, etnische afkomst, sexuele voorkeur, etc.

Wellicht is er een beter AVG- of wetsartikel wat hier wel op slaat?
Reageer
Jeroen hofman @Student156342425 februari 2026 19:17
Komt nu wel met regelmaat dat bedrijven wist van niks telecom, ISP, Hosting
Tijd dat er flinke eisen gesteld gaan worden, inmiddels een aardige uit de hand lopende zaak aan het worden.
ik ben geen specialist maar moet zeker anders kunnen.

Als ik dan ook nog in het hele onderwerp Odido lees dat ook oud klanten hun gegevens nog in bezit van Odido waren.

Flink boete geven, want sinds de overname zijn er veel problemen bij Odido
Reageer
Zwatelaar @Jeroen hofman26 februari 2026 11:05
Mogen we jou ook een boete geven omdat je tekst onbegrijpelijk warrig is geschreven?
Reageer
Jeroen hofman @Zwatelaar26 februari 2026 14:59
Tsja ik ben soms warrig , Wat voor boete had je ingedachte (NAH ) dus neem me niet kwalijk meneer Zwatelaar

toch duidelijk Flink boete geven, want sinds de overname zijn er veel problemen bij Odido
Reageer
DionMes @n00bs25 februari 2026 19:07
Ik kan mij voorstellen dat het niet mag, maar dat zie ik niet terug in artikel 9.
Reageer
Lounge Deluxe @n00bs26 februari 2026 09:49
Art. 9 AVG is hier niet van op toepassing.
Reageer
Stukfruit @hmartino25 februari 2026 18:31
Wat denk je van: niet noteren?

Dit zijn gegevens die een telecomprovider niet hoeft op te slaan om hun functie uit te kunnen voeren. Het zijn geen psychologen.
Reageer
gezoutenpinda @Stukfruit25 februari 2026 18:36
Niet? Het is fijn om een oogopslag te zien met wie je te maken hebt en ook wanneer iemand een lastigere periode heeft en dus wat vervelender kan zijn aan de telefoon dan gemiddeld. Dan kun je er rekening mee houden, niet alles is altijd ten nadele van een klant. Ook om een klant te beschermen en als medewerker niet overrompeld te worden als je wel een grote b*k krijgt van een klant aan de telefoon. Ook met klanten met een bewindvoerder zijn er verschillende regels waardoor dit stukje sowieso cruciaal is. Zou niet de bedoeling moeten zijn dat iemand die onder bewind staat telefonisch een nieuwe telefoon zou moeten kunnen bestellen en nog dieper in de schulden raakt.


Ik snap je mening hier over, maar het hoeft echt niet altijd ten nadele van een klant te zijn.
Reageer
Student1563424 @gezoutenpinda25 februari 2026 18:45
Het mag simpelweg niet...

AVG – Artikel 5, lid 1, onder c (minimale gegevensverwerking):
Persoonsgegevens moeten:

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
Verder
Artikel 5, lid 1, onder b – doelbinding
Artikel 5, lid 1, onder f – integriteit en vertrouwelijkheid
Artikel 5, lid 2 – verantwoordingsplicht
Artikel 6 – rechtmatigheid van de verwerking
Artikel 9 – bijzondere categorieën persoonsgegevens
Artikel 10 – strafrechtelijke veroordelingen en strafbare feiten
Artikel 25 – gegevensbescherming door ontwerp en door standaardinstellingen
Artikel 32 – beveiliging van de verwerking

[Reactie gewijzigd door Student1563424 op 25 februari 2026 18:57]

Reageer
R_Zwart @Student156342425 februari 2026 19:05
Als informatie nodig is voor uitvoering van het werk dan mag het wel. En een werkgever heeft ook nog zorgplicht voor de medewerkers. Dan moet je bijvoorbeeld ook aggresief gedrag van klanten vastleggen. Het heeft dus een nut en dan mag he het opslaan. Zolang je maar beschrijft.
Reageer
jinx857 @R_Zwart25 februari 2026 20:59
Medewerkers die je aan de telefoon krijgt zitten in het buitenland.
Reageer
mschol @Student156342425 februari 2026 19:15
noteren of er mogelijk misbruik gemaakt wordt of kan worden is best een goede reden om functioneel te blijven en je taak uit te voeren (misbruik voorkomen of tegen gaan is ook een taak van een telecomprovider)
moeilijke periode idem: uitwerking kan zijn dat er een slechte betaling is, voorkomen dat iemand in de schulden raakt, ook belangrijk.


als we echt zo zakelijk gaan zijn als enkele hier willen, dan is het hek van de dam en kan je niks meer als bedrijf om je klanten tegemoet te komen in vreemde situaties, klanten gaan vervolgens heel bot worden en dit levert meer aggressie op en nog meer gezeik..
in de basis is de AVG goed, maar sommige delen slaan echt volledig door( of mensen die vinden dat het volledig door moet slaan)
Reageer
tfro71 @mschol26 februari 2026 20:18
De AVG slaat maar zelden door, het zijn de bedrijven die over het algemeen niet nadenken en zomaar van alles vastleggen. De AVG zegt ook niet wat wel en niet mag maar geeft kaders en richtlijnen waarna een bedrijf zelf zijn eigen beleid moet invullen. En het KAN natuurlijk zijn dat er een goede reden is om bepaalde dingen vast te leggen en daar hoor je dan als bedrijf ook iets voor opgeschreven te hebben. Maar lastig, moeilijk, en 'de avg slaat door'.
Reageer
gezoutenpinda @Student156342425 februari 2026 18:52
AVG was er nog niet voor een gedeelte van de uitgelekte gegevens (even los van het feit dat ze de gegevens niet zo lang hoefden te bewaren en alle juridische dingen en termen... Ben geen jurist, maar spreek uit ervaring als medewerker)

Als je kijkt naar AVG en wat er daadwerkelijk gebeurd ga je huilen (ik reageer niet vaak op artikelen, maar hoevaak zie je voorbij komen dat de AVG niet nageleefd wordt en er vervolgens op bedrijfsniveau geen donder mee gebeurd behalve een waarschuwing en soms een kleine boete).


Dat iets niet mag betekend niet dat iets niet gebeurd.
Reageer
asset185 @gezoutenpinda25 februari 2026 19:12
Die zorg had ik dus al en bij deze wordt die dus bevestigd door iemand die dit werk uit voert. Tja, alles staat of valt bij de handhaving. En die schiet gewoon tekort. En de gevolgen als ze gepakt worden zijn te klein.
Reageer
R4gnax
@gezoutenpinda25 februari 2026 21:17
AVG was er nog niet voor een gedeelte van de uitgelekte gegevens (even los van het feit dat ze de gegevens niet zo lang hoefden te bewaren en alle juridische dingen en termen... Ben geen jurist, maar spreek uit ervaring als medewerker)
Er was bij het ingaan van de AVG een verplichting om opnieuw toestemming aan klanten te vragen hun persoonsgegevens te mogen blijven verwerken op op z'n minst aan de informatieverplichtingen te gaan voldoen, door klanten in te lichten over welke gegevens van hen nog opgeslagen waren. (Opslag an sich is al doorlopende verwerking.)

De verplichting tot zo'n rapportage te leveren heb je sowieso als er een inzageverzoek komt, dus dat moet je als bedrijf kunnen faciliteren - want je hebt er in voorkomend geval al een wettelijke plicht toe.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:19]

Reageer
hcQd @Stukfruit25 februari 2026 18:33
Niet noteren op te letten voor een wraakzuchtige ex, daar zal de klant ook niet blij van worden.
Reageer
Somoghi @hcQd25 februari 2026 18:38
Dat betekent dat de klant vragen gesteld moeten worden om de identiteit of te verbinding te identificeren. Van mijn part: u heeft tv, welke zender staat nu aan. En zet hem nu op kanaal 3. Of ga met uw laptop naar site odido.nl/auth en geef code 12345 in. Iets waarbij duidelijk is dat het werkelijk de klant is die belt of toegang heeft tot een apparaat of verbinding van odido.
Reageer
R_Zwart @Somoghi25 februari 2026 19:03
En het andere voorbeeld dat wordt genoemd? Als iemand onder invloed lijkt en een medewerker uitscheld of erger, dan wil je dat toch opslaan. Sterker nog, je moet dat opslaan om een dossier voor een eventuele aanklacht tegen die persoon te kunnen indienen. En verder heel praktisch: als je bijzondere zaken niet opslaat gaan klanten klagen als ze iedere keer hetzelfde verhaal moeten vertellen
Reageer
Somoghi @R_Zwart25 februari 2026 19:08
Het mag simpelweg niet worden opgeslagen, onder geen beding. Zoals elders ook al gezegd. Je zult dus beter je best moeten doen om erachter te komen dat je daadwerkelijk de klant aan de lijn hebt. Ik denk dat het klanten na dit debacle wel duidelijk is waarom dit gebeuren moet.
Als je toch de keuze maakt om dit op te slaan, doe dat zodanig dat onder geen beding, bij wat voor dump ook, deze gegevens mee kunnen komen. Maar dan kies je dus bewust om de wet naast je neer te leggen.

Als je aan dossieropbouw wilt doen, doe je dat niet centraal in het crm, maar bij het dossier. De klant mag gerust nogmaals bellen, gaat ie weer over de schreef, gespreksopnames en notitie direct door naar de juridische afdeling voor dossieropbouw.

[Reactie gewijzigd door Somoghi op 25 februari 2026 19:12]

Reageer
gaskabouter @Somoghi25 februari 2026 21:21
En hoe vindt die dossieropbouw dan plaats? En welk dossier heb je het dan precies over? En waar sla je dat dan op? En hoe licht je de klant in dat er een dossier wordt opgebouwd?

Je stelt dat het onder geen beding mag worden opgeslagen maar wel een dossier moet opbouwen?

Ik snap best je punt maar ik zie geen kwade intenties tot zover (niet gebeld worden omdat je in een slechte periode zit is best klantvriendelijk). Alleen belabberde uitvoering
Reageer
Somoghi @gaskabouter26 februari 2026 00:00
Niet opslaan bij de klantgegevens maar bij de juridische afdeling. En nee die "notities" horen nergens thuis. Hoe goedbedoeld het ook moge zijn. Als je tijdens een telefoongesprek zaken hoort die aandacht behoeven kun je die direct melden bij een instantie, maar niet in een notitie onder het mom van, wellicht heeft iemand er ooit nog wat aan.
Reageer
gaskabouter @Somoghi26 februari 2026 08:24
Klinkt eenvoudig. Welke instantie hebben we het in dit geval dan over? En waar horen notities wel thuis dan? En mogen instanties dat dan wel opslaan? En als die gehackt worden?

Het valt mij op er altijd maar de focus gelegd wordt op de data niet op de beveiliging of de criminelen. Altijd weer dat gezeur waarom die of die die data heeft. Die gebruiken ze om hun werk te doen namelijk. Als er bij mij ingebroken wordt kwijt ik toch ook niet het commentaar dat ik geen dure spullen moet hebben?

Ons hele epd staat vol met notities, niet op dit nummer bellen, mw is slechthorend etc. Allemaal bedoeld om goede zorg te leveren. Ik heb in dit geval ook alleen nog maar notities gezien die iets met zorgplicht te maken hebben.

Als jij een probleem hebt en je meldt dat bij odido en je krijgt als antwoord "we doen niks met opmerkingen" ben ik benieuwd naar jouw reactie

[Reactie gewijzigd door gaskabouter op 26 februari 2026 08:30]

Reageer
Somoghi @gaskabouter26 februari 2026 09:03
Wie heeft het over zorg, ineens het epd erbij betrekken. Het gaat om gegevens die niet minimaal nodig zijn om je dienst of product te kunnen leveren of uitvoeren. Het gaat hier om een provider. Waarom denk je dat overheden verschillen aanbrengen in data? Hoe gevoeliger de data wordt hoe meer beveiligd deze is. Binnen een bedrijf zou hetzelfde moeten gelden. De juridische afdeling hoort eenmaal niet hun spul in het crm op te slaan waar Jan en alleman in kan.

En ja dit klinkt makkelijk, de inrichting zal vaak wel voldoen, ( hoop ik tenminste ). In het werk en de uitvoering gaat het blijkbaar toch te vaak mis. Dat houdt in dat in dit geval Odido zaken niet voldoende heeft ingericht of afgeschermd. Daar hadden we het over.
Reageer
gaskabouter @Somoghi26 februari 2026 09:32
Ik denk dat dit daar prima onder valt. Bedrijven als dit hebben gewoon een zorgplicht en anders wordt ze weer verweten dat ze geen menselijke maat hanteren.

Laten we het eens hebben over hoe we internationaal gaan samenwerken en investeren in het bestrijden van deze vorm van, niet zelden statelijke, criminaliteit in plaats van elke keer het slachtoffer de schuld te geven
Reageer
R4gnax
@R_Zwart25 februari 2026 21:12
Dossieropbouw voor klanten die over de schreef gaan, kun je (en dus- dankzij dataminimalisatieprincipes, moet je) ook in een besloten systeem doen. Dat hoeft niet in een centraal CRM systeem te staan waar alle supportmedewerkers inzicht in hebbn.

Als een klant aan de telefoon begint te schreeuwen kan, indien ze het zo bont maken dat vervolgstappen gewenst zijn, de gespreksopname daarvan met een verslag van de situatie direct richting de juridische afdeling. Zij kunnen dan een dossier beginnen te bouwen binnen een afgesloten omgeving waar enkel juridische medewerkers in kunnen, en indien nodig terug contact opnemen met de supportmedewerker om verdere informatie in te winnen over het geheel.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:13]

Reageer
Keypunchie
@hcQd25 februari 2026 19:14
Maar waarom zoveel detail?

Waarom niet een simpel vlaggetje “extra identiteitscontrole vereist”
Reageer
007Nightfire @Stukfruit25 februari 2026 18:55
Tegelijkertijd kan het ook onderdeel zijn van een menselijke maat voeren. Als iemand altijd betrouwbaar is geweest als klant, maar nu even een moeilijke periode doorgaat, dan kan dat misschien een reden zijn om net iets soepeler te zijn. Is dat niet juist ook wat we willen? Uiteindelijk is het de klant die dit zelf heeft verteld en het staat niet tot in detail beschreven. Dat het gelekt is en daar weinig over bekend wordt gemaakt is wat mij betreft het probleem, niet dat ze dit soort informatie hebben genoteerd.
Reageer
jinx857 @007Nightfire25 februari 2026 21:04
Ik vind het toch raar dat ze zoiets noteren.
O mevrouw zit nu in een dip. Hoi daar rekening mee... As ls ik in een dip zit(bv) ga ik echt niet naar odido bellen en zeggen, hou even rekening met me, ik zit in een dip. Waarom? Uitstel van betaling of zo? gaat toch via auto incasso..ik vind het gek. Of ze werken erbij als hulpverlener ofzo..
Reageer
Robbierut4 @jinx85725 februari 2026 22:52
Ik vind het toch raar dat ze zoiets noteren.
O mevrouw zit nu in een dip. Hoi daar rekening mee... As ls ik in een dip zit(bv) ga ik echt niet naar odido bellen en zeggen, hou even rekening met me, ik zit in een dip. Waarom? Uitstel van betaling of zo? gaat toch via auto incasso..ik vind het gek. Of ze werken erbij als hulpverlener ofzo..
Stel jij bent ontslagen en kunt de rekening niet betalen, maar hebt ondertussen al nieuw werk en weet zeker dat de 23e je nieuwe loon wordt gestort.
Dan is het best nuttig om Odido even te bellen om dat te vermelden. Dan hoeven zij geen incassobureau in te schakelen, scheelt hun moeite en scheelt jou geld.
Reageer
jinx857 @Robbierut41 maart 2026 20:50
Oke, zo zou het kunnen gaan.
Reageer
jurroen @hmartino25 februari 2026 23:49
Natuurlijk. Maar als ik een vaste internetlijn afneem is er geen documentnummer nodig van mijn legitimatie. Ze hebben mijn geboortedatum ook niet nodig. Ook miij telefoonnummer niet.

Sterker nog, ze hebben mijn postcode + huisnummer nodig en een IBAN voor auto incasso OF een e-mailadres waar ze ze factuur naar toe plempen als ik betaal via overboeking / iDeal.
Reageer
Mizgala28 @n00bs25 februari 2026 18:44
Als je denkt dat andere bedrijven dit soort dingen niet noteren, dan leef je in een utopie.
Reageer
jurroen @Mizgala2825 februari 2026 23:52
Dat is een pijnlijke waarheid - maar ook volledig onnodig en wellicht zelfs een overtreding van de wet. Dat bedrijven het doen wil niet zeggen dat we dat moeten slikken alsof er Bobbi Eden zijn.

Als we bedrijven continu laten wegkomen met onwettig, onethisch of immoreel gedrag onder de artitude van "anderen doen het ook" verdienen we het niet om die rechten te hebben.
Reageer
Rolfie @n00bs25 februari 2026 20:14
Salesforce is een CRM systeem, juist bedoelt voor klant informatie
Reageer
SuperDre @n00bs25 februari 2026 21:41
Niks schande, compleet ligisch, dit is juist waar een ticketsysteem oa voor is.
Reageer
ToolBee @n00bs25 februari 2026 18:37
In dit geval geven er even niks om als je NU overstapt.
Heb ik ook gedaan, zonder gezeur.
Kreeg alleen een mail met "jammer dat je weggaat". Ze vroegen niet eens waarom. :D
Reageer
Knallmeister @ToolBee25 februari 2026 19:05
Kreeg alleen een mail met "jammer dat je weggaat". Ze vroegen niet eens waarom.
Ruim voor dit datalek bij Odido een abo bij Odido opgezegd, "jammer dat je weggaat" is een standaard reactie.
Reageer
jinx857 @ToolBee1 maart 2026 20:52
Hoe heb je opgezegd?

Telefonisch?
Reageer
ToolBee @jinx8572 maart 2026 03:15
Nee, dat kost tijd.

Gewoon een overstap-site.
Reageer
jinx857 @ToolBee2 maart 2026 08:02
Welke was dat
Reageer
Caelorum @n00bs25 februari 2026 18:37
Heb ooit eens in een systeem van een makelaar zien staan "pas op betreft een vechtscheiding" all caps met uitroeptekens.

Je zou eens weten wat je in het notitieveld van een CRM pakket allemaal vind bij bedrijven...

De introductie van AVG of het gedoe er omheen heeft het echt niet minder gemaakt. Dat gaat pas gebeuren als er een voorbeeld wordt gesteld door een middelgroot bedrijf te laten rollen.
Reageer
Robbierut4 @Caelorum25 februari 2026 22:55
Als jij als makelaar het huis moet verkopen wat gezamelijk bezit is dan kan dat best relevante informatie zijn voor je werk, dus ik snap best dat ze dat opslaan.

Ik ben groot voorstander van privacy wetgeving, maar je kunt ook doorslaan, sommige gegevens zijn gewoon relevant voor de dienst die je levert.
Reageer
Caelorum @Robbierut426 februari 2026 00:26
Tot op zekere hoogte ja, maar niet iedereen binnen het bedrijf hoeft het te weten en zeker niet bij alle vestigingen.

Maar ik ben wel vaker rare dingen tegengekomen. De bewoording, de specificiteit van de informatie, vaak kan het echt met wat minder ook wel.
Reageer
Robbierut4 @Caelorum26 februari 2026 08:49
Tot op zekere hoogte ja, maar niet iedereen binnen het bedrijf hoeft het te weten en zeker niet bij alle vestigingen.
Eens. Je zou echter hopen dat een andere vestiging dat dossier uberhaupt niet opent. Het is voor hun niet relevant namelijk.
Reageer
Caelorum @Robbierut426 februari 2026 09:56
Niet kan openen.
Reageer
n00bs @Caelorum26 februari 2026 12:40
Dit! zodra het voor de dienstverlening niet benodigd is, mag je gegevens niet opslaan, is het wel benodigd voor de dienstverlening en gaat het om bijzondere gegevens, dan is het nog steeds geen recht dat dit mag.

Daarnaast als het al mag, dan moet je ook genoeg maatregelen treffen dat enkel hen die het voor hun functie nodig hebben, in kunnen zien met daarop controleerbaarheid tbv audits.

Ik zie echt veel tweakers totale onzin uitkramen omtrent Odido en dergelijke gegevens. Het zou fijn zijn als men als men dit niet weet of zeker weet, feitelijk controleert ipv mensen omhoog modden die fake info vertrekken of omlaag modden omdat je het antwoord niet aanstaat.
Reageer
SunnieNL @n00bs25 februari 2026 19:01
Klantcontact systeem...
Dat is wel iets meer dan een ticketsysteem. Hier wordt bijgehouden wie de klanten zijn en wat ze hebben. Contracten, afspraken, financiële zaken. Alle klant informatie staat bij elkaar in een zo'n systeem.
Reageer
Knallmeister @thisegzz25 februari 2026 19:01
Ik denk dat je naar aanleiding van alles wat er is gebeurd genoeg redenen hebt om je contract op te zeggen. Daarmee geef je tegelijkertijd een duidelijk signaal: nu niet, nooit niet. Niet met mijn geld terroristen sponsoren, en dat je door gebrekkige, achterhaalde beveiliging géén klant meer bent en wilt zijn. Houdt stand bij de rechter.
Ben je jurist? Ik heb zo mijn twijfels.

[Reactie gewijzigd door Knallmeister op 25 februari 2026 19:02]

Reageer
SilentSimon 25 februari 2026 18:26
Wat een shitshow, en dan vooral de communicatie van Odido richting de klanten.

Je wordt compleet gebagatelliseerd. Ik ben in elk geval overgestapt van telefoon abbo en internet abbo. Mijn geld krijgen ze niet meer
Reageer
Artz @SilentSimon25 februari 2026 18:33
Ik was net een nieuw glasvezelabbo van 2 jaar aangegaan. Dit lek zal wel geen reden zijn om het contract op te kunnen heffen? Of is er sprake van een wanprestatie waardoor ik de boel kan ontbinden? @Arnoud Engelfriet

Ik ben een keer geïnformeerd. En daarna nooit meer. Bizar dit bedrijf.

[Reactie gewijzigd door Artz op 25 februari 2026 18:33]

Reageer
bw_van_manen @Artz26 februari 2026 09:06
Arnoud heeft er al over geschreven: https://blog.iusmentis.com/2026/02/16/odido-waarschuwt-voor-datalek-is-daar-dan-echt-niets-aan-te-doen/

Ontbinden kan alleen als duidelijk is dat Odido de afspraak (“Odido gaat zorgvuldig om met je persoonsgegevens en houdt zich aan de wet.”) niet nakomt. Als je je hierop wil beroepen dan zul je dus moeten bewijzen dat ze niet zorgvuldig zijn geweest of zich niet aan de wet houden.

Het OM heeft ook een onderzoek gestart. Als daaruit een boete volgt heb je een sterkere zaak als je de overeenkomst wil ontbinden, maar dat zal nog wel even duren...
Reageer
Artz @bw_van_manen26 februari 2026 18:15
Zoiets dacht ik al. Dank voor het delen. We wachten het OM-onderzoek wel af.
Reageer
The Chosen One @Artz25 februari 2026 19:07
Zit er ook net 4-6 maanden in een 2 jaar abo...
Reageer
asing @SilentSimon25 februari 2026 18:34
Vergeet niet even van je recht om vergeten te worden gebruik te maken. Anders bewaren ze het gewoon.
Reageer
asset185 @asing25 februari 2026 19:18
Vergeet niet even van je recht om vergeten te worden gebruik te maken. Anders bewaren ze het gewoon.
Je kunt je nu serieus af vragen. In hoeverre ze zich daar daadwerkelijk aan houden en jouw gegevens daadwerkelijk verwijderen.
Reageer
asing @asset18525 februari 2026 19:33
In dit geval is het een wet. De GDPR, hier de AVG, Als je zwart op wit gevraagd hebt om verwijdering en ze hebben ingestemd.... dan zijn ze bij wet strafbaar als ze later mailen dat je gegevens zijn gestolen.


Overigens ook een leuke, je hebt het recht om alles op te vragen wat ze van je weten.
Reageer
asset185 @asing25 februari 2026 20:10
En dan lees je opeens terug dat je volgens een medewerker onder invloed was. Of iets anders wat je tegen die te joviale medewerker hebt gezegd.

Het blijkt maar weer. Dat je het gewoon bij het onderwerp moet laten en verder geen woord extra.
Reageer
Upr0ar @asing25 februari 2026 20:08
Oeh, zeer nuttige info dit.. Effe noteren. Thanks! (y)
Reageer
Chocoball @asing25 februari 2026 19:14
Daar heeft Odido ook weer een aardige drempel opgeworpen. Ik moet een compleet formulier invullen met handtekening en dat kan voor mobiel abonnement, abonnement voor Internet + TV en zakelijk abonnement.

Ooit iets met Ben gehad en vaste telefonie van Tele2, beide langer dan 7 jaar geleden maar toch zijn er gegevens gelekt volgens Odido. Geen idee hoe ik erachter moet gaan komen want er is geen ander contact dan via de formulieren opvragaen of laten verwijderen.
Reageer
Zentbeer @Chocoball25 februari 2026 21:05
Ik vind dat een enorme drempel. Bovendien moet je in dat formulier ook nog eens al je gegevens invoeren, waar ik bij Odido nu wat huiverig voor ben 😉

Heb ze maar gewoon gemaild dat ze alles wat aan mijn mailadres hangt moeten verwijderen en dat ze geen aanvullende informatie hoeven te hebben voor dit verzoek, want als ze de data bekijken zien ze dat ze die sowieso uit zichzelf al lang en breed verwijderd hadden moeten hebben.

We zien wel wat ervan komt :-)
Reageer
Robbierut4 25 februari 2026 18:26
Verder is in de gegevens te zien welke klanten een bewindvoerder hebben en dus onder curatele staan, meldt de NOS.
Dit klinkt heel erg voor de leek, maar hier is uberhaupt al gewoon een openbaar register voor online, namelijk op de site van de rechtspraak.

Dat gedeelte is dus geen probleem.

De rest is natuurlijk wel schadelijk dat dat ook gelekt is, maar ook niet verrassend gezien ze een inlog hadden via de klantenservice systemen.
Reageer
snaggyheadshot @Robbierut425 februari 2026 18:43
Dat gaat wel heel kort door de bocht. Om te zien of iemand onder curatele staat heb je op de website van de rechtspraak al toegang nodig tot diegene zijn of haar achternaam + bijbehorende geboortedatum. Je hebt dus geen toegang tot het volledige register zonder alle matchende achternamen en geboortedatums.

Dat is heel wat anders dan in één opslag een CSV'tje kunnen filteren.
Reageer
Robbierut4 @snaggyheadshot25 februari 2026 18:45
Het was al eerder bekend dat de volledige naam en geboortedatum was gelekt.

Tuurlijk, ff een csv filteren is makkelijker/sneller, maar ik kan me niet voorstellen dat de rechtspraak nou de meest geweldige rate limiting heeft op hun systemen, dus je kunt daar vast de 8 miljoen gebruikers in een week doorheen halen, zeker met wat proxies.
Reageer
snaggyheadshot @Robbierut425 februari 2026 18:52
Je gaat voorbij aan het punt: namelijk dat deze informatie direct in een CRM/ticketsysteem in relatie tot een klant is opgeslagen en ook te exporteren is geweest voor een klantenservice-medewerker.

Vanuit governance-perspectief is het idioot dat dit soort informatie voor klaarblijkelijk zoveel medewerkers inzichtelijk is.
Reageer
Robbierut4 @snaggyheadshot25 februari 2026 18:55
Nee, de realiteit is dat deze data voor elke medewerker inzichtelijk hoort te zijn. Tenminste, als iemand onder bewind belt om hun abbo aan te passen dan mag dat niet. De klantenservice moet dus wel weten wie ze nee moeten verkopen aan de telefoon.

Enige manier om dit af te vangen is een speciale kleine afdeling van de klantenservice te maken die rechten heeft om een abbo te veranderen. Wat veel doorschakelen en tijd kost voor zowel de klantenservice als alle klanten die niet onder bewind staan.
Reageer
snaggyheadshot @Robbierut425 februari 2026 19:08
Nee, de realiteit is dat deze data voor elke medewerker inzichtelijk hoort te zijn.
Ik hoop dat dit een grap is. Ooit gehoord van Principle of Least Privilege (PoLP)?

Eerste-lijn support hoeft géén toegang te hebben tot de juridische status van iemand. Dit mag prima voorbehouden zijn aan de financiële afdeling (dat is immers ook de enige afdeling waar deze informatie voor van belang is).


Overigens is jouw 'het kost veel tijd'-argument ronduit flauwe kul. Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu. Bovendien zou een klein beetje extra tijd geen argument mogen zijn om de privacy van kwetsbare mensen te beperken. Een medewerker die je helpt met het instellen van je router hoeft niet te weten of je wel of niet onder curatele staat.
Reageer
Robbierut4 @snaggyheadshot25 februari 2026 19:14
Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu.
Ah top, laten we ff een voorbeeld pakken. Pietje staat onder bewind want is niet verstandig met zijn geld. Pietje wil graag de nieuwste iphone.
Pietje belt Odido en hoort, sta je onder bewind toets 1, zo niet, toets 2.

Pietje staat onder bewind, maar wil toch graag die iphone, dus toetst 2. Besteld nieuw abbo, want medewerker kan dat niet inzien.
Maand later komt de bewindvoerder erachter, maar de iphone is al een paar keer gevallen, scherm kapot, etc.

Odido de sjaak, want die zitten met een kapotte iphone en geen geld, want het abbo was niet rechtsgeldig.

Maar goed idee hoor, zo'n keuzemenu.
Overigens als "computer says no" gebeurt bij optie 2 bij het afsluiten (want die weet wel van het bewind), dan weet de desbetreffende medewerker alsnog gewoon dat iemand onder bewind staat, want dat is de enige logische reden waarom het geblokkeerd wordt dat iemand een abbo mag afsluiten.
Reageer
latka @Robbierut425 februari 2026 19:56
In de verzekerings wereld is zon gebruiker geflagged voor de 1e lijn: die zien niet waarom maar weten wel dat zij het niet mogen afhandelen en door moeten zetten naar een andere afdeling. Die afdeling kan dan wel de gegevens opvragen (als: zijn niet allemaal lokaal beschikbaar) om de zaak verder af te handelen. De 1e lijns voorzien van dit soort info is dwaas.
Reageer
Caelorum @Robbierut425 februari 2026 19:36
Er zijn heel veel redenen om iemand te blokkeren van bestellen: onder bewind, negatieve kredietcheck, juridisch conflict met het bedrijf, verdacht van fraude, eerder poging tot idemlntiteitsdiefstal van de betreffende persoon die iets wil bestellen en zo nog een aantal redenen. De medewerker weet dus niet de exacte reden en dat is ook gewoon niet relevant.

Dst er ergens staat opgeslagen wat de werkelijke reden is is logisch, maar een servicedesk medewerker, zeker de eerstelijn, hoeft dat niet te weten of überhaupt te kunnen inzien.
Reageer
Robbierut4 @Caelorum25 februari 2026 20:27
Dst er ergens staat opgeslagen wat de werkelijke reden is is logisch, maar een servicedesk medewerker, zeker de eerstelijn, hoeft dat niet te weten of überhaupt te kunnen inzien.
Je gaat hier alsnog voorbij aan de basis. Het is praktisch gezien al publieke informatie.
Tenzij de servicedesk ook geen toegang mag hebben tot naam en geboortedatum.
Reageer
marco-ruijter @Robbierut425 februari 2026 20:19
Maar je vergeet even dat wanneer je telefonisch een abonnement afsluit, de medewerker die je spreekt de aanvraag in de basis gewoon kan voltooien. Vervolgens gaat de aanvraag echter alsnog door een financieel checksysteem, waarbij bijvoorbeeld de BKR wordt gecontroleerd. Het komt vaak genoeg voor dat er dan alsnog een afwijzing volgt, nog voordat de telefoon überhaupt is verzonden.

Over het algemeen hoeft een medewerker bij een provider zoals Odido geen uitgebreide financiële checks uit te voeren. Die voert simpelweg in wat je telefonisch doorgeeft, vaak exact hetzelfde als wat je online zelf zou invullen.

Je ontvangt daarna netjes een e-mail met de bevestiging: bedankt voor het kiezen van ons als provider, en dat ze aan de slag gaan met het verwerken van je aanvraag.

[Reactie gewijzigd door marco-ruijter op 25 februari 2026 20:20]

Reageer
TweakerCarlo @Robbierut425 februari 2026 19:33
Zo werkt het dus echt niet he!
Reageer
Robbierut4 @TweakerCarlo25 februari 2026 20:04
Correctie, zo zou het niet mogen werken.

Ik heb een buurman die onder bewind staat, en op de een of andere manier toch telkens dingen af weet te sluiten of voor elkaar krijgt om dingen op krediet te kopen etc.
Onder bewind staat niet altijd gelijk aan dom, maar soms juist aan erg gehaaid.
Reageer
SubSpace @Robbierut425 februari 2026 20:10
Of als de computer-says-no foutmelding te vaag is, krijgt de IT-afdeling een ticket voor elke gefaalde order 😬
Reageer
karelvandongen @Robbierut425 februari 2026 20:34
Er is geen enkele reden waarom je dit niet kunt ondervangen, je maakt in de sql query's gewoon een true/flase item met voor gebruiker x mogen we niets voor doen, en de reden zou er voor de gewone medewerker niet toe moeten doen. Die kan gewoon doorschakelen naar iemand die dat wel kan/mag, en zeker voor zon kleine groep zou dat echt geen probleem moeten zijn.
Reageer
DdeM @snaggyheadshot25 februari 2026 19:19
Overigens is jouw 'het kost veel tijd'-argument ronduit flauwe kul. Dit kun je prima ondervangen met een (weliswaar irritant) keuzemenu.
Alleen meestal is dat alleen een soort filter zodat de medewerker die je aan de telefoon krijgt alvast de juiste gegevens er zo veel mogelijk bij kan pakken, maar krijg je gewoon dezelfde medewerker te spreken als die je krijgt als je een storing hebt.
Reageer
R4gnax
@Robbierut425 februari 2026 21:23
Enige manier om dit af te vangen is een speciale kleine afdeling van de klantenservice te maken die rechten heeft om een abbo te veranderen. Wat veel doorschakelen en tijd kost voor zowel de klantenservice als alle klanten die niet onder bewind staan.
En dat is dus juist wat er binnen organisaties die wel hun zaakjes op orde hebben, gebeurt.
Die hebben vaak minimaal afdelingen verkoop/acquisitie/klantbehoud, facturen en betaling, en generieke vragen en ondersteuning. En allemaal hebben ze andere toegangsniveau's.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:24]

Reageer
Robbierut4 @R4gnax25 februari 2026 21:25
Dan moet je dus iedereen die uitkomt bij de generieke vragen en uiteindelijk toch iets wil kopen doorverbinden aan een nieuwe afdeling. Met mogelijke wachttijd.

Voor iets wat effectief openbare informatie is.
Reageer
fender89 @snaggyheadshot25 februari 2026 19:45
Zonder verder waardeoordeel, kan uit eigen ervaring vertellen, dat dit ook het geval is bij een van de bekende grootbanken. (En ongetwijfeld nog bij meer organisaties).

In het CRM systeem van de betreffende grootbanken staan jaaaaren aan 'klantnotities" in het individuele klant dossier. Inzichtelijk voor iedere gebruiker van dat systeem. Van KCC medewerker tot private banker en alles daartussen.
En in het kader van een 'integraal klantbeeld' werd (wordt?) daar vanalles genoteerd: klant is ziek, klant ligt in scheiding, klant was onbeschoft toen ik hem belde, meneer stonk heel erg in de spreekkamer,... De voorbeelden zijn eindeloos.

Ofwel, goed om te beseffen dat Odido echt niet 'uniek' is in deze...
Reageer
latka @fender8925 februari 2026 19:57
Had die bank ook een mantra over een 'vloeiende kanaalbeleving'?
Reageer
fender89 @latka25 februari 2026 19:58
Correct.
Reageer
Commendatore @latka25 februari 2026 21:54
Vloeiende wat?
Reageer
Jerie
@Robbierut425 februari 2026 18:59
Ik heb zojuist mijn halve familie erdoorheen geramd. Nul hits, maar ook geen limiting, terwijl ik toch binnen enkele minuten meerdere requests deed (zo snel als ik op touchscreen kon tikken in m'n midlife crisis leeftijd).

Met een CSV van een leak kun je dit met curl en HTTP POST vast automatiseren. Daar heb je niet per definitie dit Odido lek voor nodig. Bijvoorbeeld het lek van Facebook rond 2017 volstaat ook. Daar stonden ook allerlei BN'ers in.
Reageer
jinx857 @snaggyheadshot25 februari 2026 21:08
Niet iedereen met een bewindvoerder staat onder curatele. Dat is zwaarder dan bewind.
Reageer
mrtl @Robbierut425 februari 2026 18:33
Niet iedereen met een bewindvoerder staat onder curatele toch? Dus niet iedereen zal daarin online staan.
edit:
Jezus... ik zie nu dat het voor iedereen "onder bewind" geldt. Dat vind ik erg ver gaan...

[Reactie gewijzigd door mrtl op 25 februari 2026 18:34]

Reageer
Robbierut4 @mrtl25 februari 2026 18:34
Het is het curatele en bewind register, dus ja, in principe kun je daar iedereen vinden die onder bewind staat.

Het is juist bedoeld voor bedrijven om even snel te checken of iemand wel zelf een contract etc mag afsluiten.
Reageer
tweakerbee @mrtl25 februari 2026 18:39
Wie staan niet in het register?

Personen van wie de geldzaken al vóór 1 januari 2014 onder bewind staan, staan meestal niet in het register.

Personen van wie de geldzaken onder bewind zijn geplaatst vanwege lichamelijke of geestelijke omstandigheden, waarvan de rechter heeft besloten dat publicatie niet noodzakelijk is.
Ook onder bewind staat erin, maar meestal alleen wanneer dit na 2014 gestart is.
Reageer
jinx857 @tweakerbee25 februari 2026 21:12
Het boeit mij echt niet of ze weten dat ik bewindvoering heb,of dat ze dat gaan lekken. Is geen geheim. Succes daarmee..maar idd vind ik het echt schandalig als odido gaat betalen. Ze maken zelf door hun lakse beveiliging dat ze gehackt zijn. Ik twijfel of ik nog wel bij odido wil blijven..
Reageer
Tomatoman @Robbierut425 februari 2026 18:51
Dat is natuurlijk geen geldige vergelijking. Je kunt in dat register echt niet eventjes downloaden welke mensen in een dataset van 6 miljoen Nederlandse inwoners onder curatele staan.

Als we die 128 mensen uit een set van 10.000 als maatgevend beschouwen, staat/stond 1,28% van de Odido-klanten onder curatele. Met gelekte data van 6,5 miljoen klanten gaat het om een lijst van meer dan 80.000 mensen die onder curatele staan. Dat is ongekend heftig datalek, want die lijst is nergens anders verkrijgbaar.
Reageer
Robbierut4 @Tomatoman25 februari 2026 18:53
In de gelekte data zitten volledige namen en geboortedata. Dan is het vrij eenvoudig op daarmee de lijst van de rechtbank te scrapen.
Reageer
FicoF 25 februari 2026 18:26
Wow dit is wel echt heftig. Aantekeningen zijn intern niet altijd even fraai. Hoop voor de gedupeerden dat Odido dit wel netjes deed.
Reageer
liberque @FicoF25 februari 2026 18:59
Notities maken bij een klant is vrij normaal en geeft andere KS medewerkers wat meer handvaten. Dus ik vind dat niet vreemd. Er wordt bij mijn werkgever wel altijd gezegd: "Hou er rekening mee dat de klant deze gegevens op kan vragen" wat tot gevolg heeft dat de notities altijd netjes en genuanceerd zijn. Klant lijkt onder invloed te zijn tijdens het bellen kan leiden tot enorm gedoe. Niet alleen door de klant, maar ook door een manager en is daardoor not done. Weer een teken dat Odido toch niet echt netjes is.
Reageer
DirtyBird @liberque25 februari 2026 19:20
Ik vind het juist wel netjes geformuleerd. Had ook kunnen staan "deze kaolo is kk stoned dus we kunnen m alles aansmeren"
Reageer
liberque @DirtyBird26 februari 2026 07:25
Dus als iemand een beroerte heeft gehad of een ander medisch probleem waardoor deze dronken klinkt, mag jij als telefonist dit beoordelen en bestempelen als dronken? Lekker stigmatiseren zodat klant niet meer serieus genomen wordt. Nee dat is niet netjes en al helemaal geen ongesolliciteerde melding in een klantsysteem waardig. Wat je er dan neer moet plempen? Helemaal niks! Als een klant dronken klinkt en een abo wilt afsluiten is dat deze zijn verantwoordelijkheid. Ze hadden het immers ook gewoon online kunnen doen. Dit doet dus niet ter zake.
Reageer
DirtyBird @liberque26 februari 2026 07:35
Er staat "lijkt onder invloed" (y) doei
Reageer
liberque @DirtyBird26 februari 2026 12:09
Zou je ook normaal kunnen reageren? Respect is immers een groot goed. Dat telt ook voor een kcc.

Standpunt blijft staan, want semantiek bij het verschil is hetzelfde. Het staat gekoppeld aan je klantgegevens en heeft potentie om bij andere kcc gesprekken de klant niet serieus te nemen. Het hoort gewoon niet. Je zet de klant al 1 punt achter nog voordat een gesprek begint vanwege een vermoeden via een notitie waar deze geen weet van heeft.
Reageer
Martinspire @liberque25 februari 2026 20:27
Ik denk dat een bedrijf aardig wat problemen kan krijgen als iemand onder invloed blijkt te zijn bij het afsluiten van diensten, dus ik verwacht dat dit juist dingen zijn die ze wel vermelden. Het is nog vrij tactisch gezegd imo. Nergens veroordelen, nergens uitgaan van feiten. Gewoon een "pas op bij deze klant, want ..."

Hoe zou je dit anders noteren?

[Reactie gewijzigd door Martinspire op 25 februari 2026 20:27]

Reageer
R4gnax
@Martinspire25 februari 2026 21:33
"Klant leek niet volledig aanwezig te zijn. Controleer in het vervolg extra bij aangaan van verbintenissen en zorg dat alles ondubbelzinnig duidelijk is."

Je hoeft niet te gissen naar de reden. Je legt de noodzaak van de vervolgactie vast.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:35]

Reageer
Memori @FicoF25 februari 2026 20:10
Heel heftig. Als de gegevens worden gelekt, kan het maar zo zijn dat men in de toekomst over de aantekeningen geconfronteerd wordt bij een solicitatiegesprek. Of dat je erdoor wellicht helemaal geen uitnodiging krijgt.

Dit is veel heftiger dan alleen maar persoonsgegevens.
Reageer
Robbierut4 @Memori25 februari 2026 23:04
Als jou toekomstige werkgever gebruik maakt van illegaal verkregen data en jou specifiek vraagt naar de inhoud daarvan dan zou ik heel hard wegrennen uit dat gesprek.

Het zou me zelfs niks verbazen als dat wettelijk gezien zelfs verboden is.
Reageer
Baardmeester @FicoF25 februari 2026 19:04
Ik snap nooit wanneer medewerkers dit niet gewoon netjes doen. Je kunt de nuttige dingen gewoon zakelijk noteren en de emotie erin weglaten. Helemaal bij de overheid wanneer je weet dat het in een woo verzoek kan komen.
Reageer
MartijnVFF 25 februari 2026 18:29
Hoe kan er zo ongelooflijk veel verschillende data gescraped/gedownload zijn in die korte tijd via de login van 1 of hooguit een handjevol logins van medewerkers? Waarom zat er geen blokade op bij zulke verdachte scrapes/downloads van data?

Bij de eerstvolgende mogelijkheid in augustus gaan we inmiddels zeker weten overstappen.
Reageer
Martinez- @MartijnVFF25 februari 2026 18:38
Ze zijn er pas in het weekend van 7 op 8 februari achter gekomen dat er kwaadwillende in het systeem zitten (nadat ze zichzelf gemeld hebben...).

Het kan dus zomaar zijn dat ze al enkele maanden toegang hadden zonder dat Odido het doorhad. En dat ze pas zichzelf kenbaar hadden gemaakt nadat ze langzaam maar zeker alle records hadden.

[Reactie gewijzigd door Martinez- op 25 februari 2026 18:39]

Reageer
AmateurVinoloog @MartijnVFF25 februari 2026 18:45
Mja, het kan natuurlijk ook zijn dat ze ergens een parquet file of csv hebben opgerakeld. Je wilt niet weten hoeveel er in de download mappen staat van sommige medewerkers. Als dat je DBA of BI engineer is die wat slordig omgaat met ... gegevens, dan zijn de rapen natuurlijk gaar.

IOm je een voorbeeld te geven: best veel bedrijven hebben Dynamics CRM; ik werk er inmiddels niet meer mee, maar tot voor kort kon je via PowerQuery gewoon de hele db waar je toegang toe hebt leegtrekken. Sommige medewerkers, bijvoorbeeld administrators in een organisatie hebben toegang tot alles. Daarom beperk je die rechten ook zoveel mogelijk, maar er zijn altijd medewerkers met God mode. Als je jezelf daar toegang toe verschaft; God beware je.
Reageer
R4gnax
@AmateurVinoloog25 februari 2026 21:48
Het was vziw al bekend dat ze alles via de web interface van het CRM gescraped hadden. Record voor record, langzaam aan over de loop van meerdere dagen zodat het niet al te veel op zou vallen.

Uiteraard had, als Odido hun beveiliging op orde had gehad, dit meteen opgevallen als de medewerker zelf ook inlogt voor normale werkzaamheden en dus het systeem kan zien dat er vanaf gescheiden IP addressen simultaan zaken gebeuren via dezelfde account. Dat zou meteen een grote vette rode vlag moeten zijn als je ook maar het minimale van het minimale aan intrusion detection uitgerold hebt.

[Reactie gewijzigd door R4gnax op 25 februari 2026 21:51]

Reageer
Powerblast
@MartijnVFF25 februari 2026 18:38
Hangt er wat vanaf over welk type medewerker het gaat, maar bij bijvoorbeeld helpdesk of iets dergelijks kan ik me wel voorstellen dat ze heel wat kunnen inzien. Daar zullen weinig beperkingen zitten op die persoon enkel die set aan klanten.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq