RTL-onderzoek bevestigt vermoedens: Odido bewaarde data langer dan beloofd

Wat veel oud-klanten van Odido vermoedden, blijkt te kloppen: de provider bewaarde hun gegevens langer dan de twee jaar die het beloofde, ontdekte RTL Nieuws. Dat vond in de dataset de gegevens van zeker 44.000 personen die meer dan twee jaar geleden hun abonnement opzegden.

RTL Nieuws vond in de dataset van gelekte Odido-gegevens data van klanten die soms al vijf jaar geen klant meer waren bij de provider. RTL sprak met meerdere van zulke slachtoffers, die vaak niet wisten dat hun gegevens gestolen waren.

Volgens RTL gaat het om zeker 44.000 klanten die in de dataset als 'inactief' stonden, maar waarvan de opzegging of laatste wijziging meer dan twee jaar ervoor plaatsvond. Dat deed de site omdat Odido zelf in zijn privacybeleid verklaart klantgegevens maximaal twee jaar te bewaren nadat klanten opzegden. RTL deed daarnaast een steekproef om te controleren of die data correct waren.

RTL bevestigt met de bevindingen een vermoeden van veel klanten. Veel slachtoffers, waaronder ook tweakers, merkten al op dat ze in februari een e-mail van Odido hadden gekregen waarin stond dat ze mogelijk slachtoffer waren. Ook gingen veel oud-klanten zelf op zoek in de inmiddels vrijgegeven dataset, of ze gebruikten daarvoor een van de tientallen tools die dat doorzoeken mogelijk maken.

Uit die onderzoeken kwam al vaak naar voren dat gegevens bleken te zijn gestolen die al heel oud waren. Een woordvoerder van Odido zegt tegen RTL dat het nog onderzoek doet naar de omvang van de hack en dat het 'tijd kost dat zorgvuldig af te ronden'. De provider zegt tegen RTL daarbij ook naar dataretentie te kijken.

Odido gegevens download

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-03-2026 18:53
193 • submitter: Meg

13-03-2026 • 18:53

193

Submitter: Meg

Lees meer

AP en RDI doen officieel onderzoek naar Odido-datalek
AP en RDI doen officieel onderzoek naar Odido-datalek Nieuws van 26 maart 2026
Odido-klanten geraakt door grote internetstoring - update
Odido-klanten geraakt door grote internetstoring - update Nieuws van 26 maart 2026
Ziggo ruimt per ongeluk actieve e-mailboxen van klanten op - update
Ziggo ruimt per ongeluk actieve e-mailboxen van klanten op - update Nieuws van 26 maart 2026
Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia
Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia Nieuws van 24 maart 2026
Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt
Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt Nieuws van 13 maart 2026
Bunq lijkt Odido-slachtoffers gericht te benaderen met antifraudemails
Bunq lijkt Odido-slachtoffers gericht te benaderen met antifraudemails Nieuws van 5 maart 2026
RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek
RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek Nieuws van 3 maart 2026
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update Nieuws van 3 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen
Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen Nieuws van 27 februari 2026
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026
Meer producten en artikelen
Beveiliging en antivirus Datalek Odido

Reacties (192)

-Moderatie-faq
192
192
89
15
1
97
Wijzig sortering

Sorteer op:

Weergave:
S.McDuck 13 maart 2026 19:13
Wordt echt is tijd voor een stevige massaclaim door consumenten.

Ik moet overal beveiliging inbouwen, alert zijn en maatregelen treffen om gegevens niet kwijt te raken of te laten misbruiken. Doe ik dat wel is het mijn eigen schuld.De bedrijven gooien mijn prive data op straat en als consument sta ik machteloos. Ik kan mijn BSN niet veranderen, moet geld uitgeven om te zorgen dat deze 'ongemakkelijkheden' niet misbruikt worden. En ook alle andere zaken die mogelijk zijn met deze gegevens, en maar even te veranderen om niet opgelicht te worden of mogelijk zonder het te weten bestellingen te doen. Of erger nog mijn identiteit kwijt te raken.

Grappig als er straks weer 5 miljoen naar de AP gaat, maar ik zit met de rotzooi van een bedrijf die het niet zo nauw neemt met de (wettelijke) verantwoordelheden.

[Reactie gewijzigd door S.McDuck op 13 maart 2026 19:14]

Reageer
padoempats @S.McDuck13 maart 2026 19:32
Wat kan iemand met je bsn? Gewoon benieuwd hoe erg het is dat iemand je bsn kent.

uiteindelijk moeten we toe naar een situatie dat persoonsgegevens niets waard zijn. Dat je met alleen gegevens niet je ergens voor iets kan aanmelden waar financieel iets van afhankelijk is. AlS we daar zijn is een bsn niets anders dan een getal/id wat voor een ander waardeloos is
Reageer
S.McDuck @padoempats13 maart 2026 20:17
Alleen mijn BSN misschien niet heel veel, maar de complete set die Odido heeft gelekt heel veel. En het BSN is een bijzonder beschermd persoonsgegeven identificatie die voor het leven wordt uitgegeven. Bij alle overheid instanties is dit mijn 'token'. Die nu dus naast vertrouwde instanties is 'gedeeld' met...

Door de complete set die bij Odido is vrijgekomen kan er nu dus: Bestellingen doen, contracten sluiten, postbus aanvragen of abonnementen aanvragen om maar een paar zaken te noemen. Maar ook social engineering uit mijn naam om maar een paar voorbeelden te noemen. Ze hebben tenslotte gegevens die ik alleen hoor te hebben, Vandaar de hoge inbreuk op mijn privacy en de mogelijkheid om mijn identiteit te misbruiken. Door de set die Odido heeft gelekt zijn alle gegevens die je nodig hebt voor alle vormen van fraude in handen gekomen van mensen die dit niet horen te hebben.
Reageer
beeldbuijs @S.McDuck13 maart 2026 22:08
Je kunt je ook afvragen hoe wenselijk en realistisch het is dat je een contract kunt afsluiten met alleen die gegevens.

Deze week heb ik een nieuw mobiel internet-contractje afgesloten. De nieuwe sim-kaart werd aan huis gebracht, waar middels een pin-betaling werd gecontroleerd of ik inderdaad de rekeninghouder ben. Daarnaast moest ik een geldig ID laten zien.

Niet dat het hacken ook maar 1% goed te praten is, maar we gaan niet goed met dat probleem om. Gegevens lekken nou eenmaal regelmatig uit. Dat je op afbetaling kunt kopen met minder controle is eerder het probleem dan het uitgelekte bsn.
Reageer
himlims_ @beeldbuijs14 maart 2026 16:53
Dat gaat binnjouw standaard Vodafone of kpn contract lastig zonder werkelijke (fysieke) verificatie, echter zijn er ook voldoende shady bedrijven die het minder strikt nemen.

Zo kun je bijvoorbeeld een (kort/klein) krediet lenen, zonder al te veel “gedoe”. Die vorm van identiteit fraude en misbruik komt voor, en als slachtoffer sta je al snel in je hempje. Want dat shady “leen bankje” leunt weer op een ander shady “incassobureau” (die weer onderdeel is van dezelfde holding, of moeder bedrijf I Cyprus)

Heb verschillende volwassenen aan de balie gehad, die in tranen uitbarsten, en met handen in haar zitten omdat geen uitweg zien. En niet weten hoe dit te stoppen.

het is heel smerig, gaan van 250€ tot tien duizenden
Reageer
Tim_bots @himlims_16 maart 2026 08:30
Mag ik vragen hoe deze vorm van oplichting dan wordt gestart?

Wat voor gegevens heeft de oplichter dan nodig? Vooral om te kijken hoe/of ik mezelf hiertegen kan wapenen.
Reageer
logix147 @Tim_bots16 maart 2026 17:49
Je kan dus onbedoeld een geld ezel worden. Echte geld ezels geven dit soort gegevens ook vaak onbewust af met de belofte snel rijk te worden, dat kan een best ellendig hoofdstuk in het boek getiteld "mijn leven" worden als je gegevens misbruikt worden.

De fraudehelpdesk zegt hierover het volgende: link naar hun website
Als je wat verder klikt geven zij het volgende aan op het formulier:

"Vragen met een * verplicht invullen

Je doet melding omdat je een kopie van je ID hebt afgegeven

Heb je een kopie van je identiteitsdocument (paspoort, identiteitskaart of rijbewijs) afgegeven maar vertrouw je het niet of heb je al gemerkt dat je kopie is misbruikt? Met dit formulier kun je hiervan melding doen bij het Centraal Meldpunt Identiteitsfraude (CMI). Nadat je dit formulier hebt ingevuld, ontvang je binnen één dag per e-mail een reactie.

Ben je geïnformeerd dat een kopie van jouw identiteitsdocument betrokken is bij een datalek, maar is er nog geen misbruik gemaakt van jouw persoonsgegevens? Dan is het doen van een melding nog niet nodig. Wel kun je overwegen om uit voorzorg een nieuw identiteitsdocument aan te vragen bij je gemeente. Wees daarnaast alert op phishing."

Toen Odido naar buiten kwam heb ik al de tip eens gegeven: vernieuw, hoe vervelend dan ook, jouw persoonlijke documenten en stuur een klacht richting Odido dat je hen aansprakelijk stelt voor de kosten hiervoor. Als het Odido een beetje siert, zal men dit vergoeden, zonder dat er een massaclaim voor nodig is.

Hetgeen wat ik heel vreemd vind is dat mijn zakelijke simkaart ook ineens een mailtje heeft ontvangen. Ik vermoed zelf dat dit door mijn gebruik van de Odido app is, want ik heb eigenlijk dat e-mailadres nergens anders ooit voor gebruikt - ik gebruik namelijk per bedrijf/dienst een aparte alias en deze was iets in de trend van tmobile-tablet@mijndomein.xyz - Odido heb ik verzocht om een verklaring maar ik denk dat mijn mailtje ergens onderop de stapel ligt.

@hollandnick Dat klopt dat het in een rechtbank nooit stand houdt echter kwaad is vaak wel al geschiet als je daar staat. Als je bijvoorbeeld al op je werk/thuis opgehaald door de politie dan heb je al reputatieschade bijv - zonder dat je het zelf wist. Gevaar aan deze combinatie gegevens is dat dit soort shady bedrijfjes vaak in een mum van tijd veel slachtoffers maakten en tegen de tijd dat hiertegen werd gehandhaafd was het volgende zaakje al opgezegd.

Criminelen, zeker die met veel geld, worden steeds creatiever. Daarom liggen populaire toestellen ook niet meer in de winkel. Dat is niet enkel puur voor die overvallen. Maar inhoeverre abonnementscontroles aan de deur nog goed gedaan worden, ik heb na COVID nooit meer een handtekening gezet voor een pakket onder de 1000 euro. Daarboven zit toch vaak wel een code die ze moeten hebben.

[Reactie gewijzigd door logix147 op 16 maart 2026 17:49]

Reageer
Tim_bots @logix14716 maart 2026 18:02
Mijn "huidige" abbonement heb ik al een hele tijd (1e Android telefoon). Dus ik verwacht dat mijn ID kaart daar ondertussen wel verlopen is.

Maar alsnog bedankt voor de tip.
offtopic:
Misschien binnenkort toch eens langs de odido winkel, kijken wat er precies gelekt is.
Reageer
hollandnick @himlims_16 maart 2026 11:09
Het probleem hiermee is dat dit in de rechtbank natuurlijk nooit stand houdt, zeker omdat het allemaal shady bedrijfjes zijn. Enige wat je moet doen is zowel "shady leen bankje" en het "Incassobureau" negeren, al zullen er vast mensen zijn die dit niet kunnen en daardoor stress ervaren.
Reageer
Argantonis @beeldbuijs14 maart 2026 04:08
Dit is het belangrijkste. Een BSN mág gewoon niet zo belangrijk zijn. Het is maar een identifier, het betekent verder niks in deze tijd van digitalisering waarin die identifier op allerlei manieren kan lekken. Hier in Indonesië moeten ze gewoon een kopie van mijn paspoort maken bij het inchecken in een hotel. En dat geldt voor vele landen in Azië. Het is bizar om aan te nemen dat een BSN geheim gehouden kan worden ondanks dat je je paspoort aan allerlei instanties moet tonen, en ja ook in Nederland. Iemand met een goed geheugen kan ook in landen waar een kopie maken niet gebruikelijk is dat nummer wel onthouden.
Reageer
Jahe1990 @Argantonis14 maart 2026 19:43
Klopt - hier in Spanje wordt je NIE of DNI (Spaanse variant van BSN) voor alles en nogwat gevraagd - zelfs bijv. bij de levering van een pakketje of aan de kassa van de supermarkt om je klantgegevens te vinden. Het is alles behalve geheim, en dat maakt eigenlijk niet echt veel uit.
Reageer
tweaker2010 @Jahe199015 maart 2026 09:25
Je geeft het zelf al aan. Als je met een BSN (of soortgelijk nummer) pakjes op kan halen dan maakt het dus wel uit want het wordt gebruikt ter verificatie van je identiteit
Reageer
Jahe1990 @tweaker201015 maart 2026 10:23
Dat hangt af van waar het nummer voor dient. Je kunt niet alleen met dat nummer pakketjes ophalen; in het voorbeeld dat ik gaf, gaat het om de levering. Misbruik is uiteraard nog steeds mogelijk: iemand zou immers mijn NIE kunnen doorgeven aan de koerier, en dan lijkt het alsof ik het pakket in ontvangst heb genomen. Het nummer op zichzelf verifieert uiteindelijk niets (want het wordt niet gematched met een database tenzij ik bijv. naderhand klaag dat ik het pakket niet heb ontvangen), het identificeert alleen een record in een systeem. Het systeem leunt uiteindelijk op gemak en waarschijnlijkheid, niet op echte identiteitcontrole.
Reageer
daanb14 @S.McDuck13 maart 2026 21:06
Dit is een van de redenen, waarom het heel erg hoog tijd wordt dat er bij de overheid een manier komt om een nieuw BSN aan te vragen voor reguliere burgers. Het is nu niet de vraag of iemands BSN uitgelekt gaat worden, maar wie hem uit gaat lekken. Gaat het een hotel of camping zijn die zijn oude scans zonder KopieID niet veilig opsloeg? Gaat het Odido zijn? De belastingdienst die het BTW-nummer herleidbaar maakte uit het BSN? Kortom, helaas zijn er genoeg plekken die hem uit zouden kunnen lekken en daarom is het wat mij betreft des te meer onbegrijpelijk dat we nog steeds niet bezig zijn om dit voor elkaar te krijgen.
Reageer
bytemaster460 @daanb1413 maart 2026 23:33
Het BSN is juist een manier om op een unieke manier gegevens te koppelen door (semi)overheidsorganisaties. Nieuwe BSNs halen dat hele principe onderuit. Men kan beter ervoor zorgen dat een BSN op zich geen mogelijkheden tot ID fraude biedt. Daar heeft men al heel veel stappen in gemaakt.
Reageer
daanb14 @bytemaster46013 maart 2026 23:37
Een BSN is uiteindelijk gekoppeld aan een natuurlijk persoon die zich fysiek zou moeten melden bij een overheidsinstantie om het nummer te wijzigen. In dat geval zie ik ook niet, waarom een nieuw BSN krijgen onmogelijk zou zijn. Het is nog steeds een uniek nummer gekoppeld aan jou als persoon, maar je hebt er in dat geval eentje die vanaf een bepaalde datum geldig is en de ander die vanaf dan niet meer geldt.
Reageer
bytemaster460 @daanb1413 maart 2026 23:41
Gegevens worden tussen instanties gekoppeld op basis van BSN daarom is ervoor gekozen dat iemand in zijn leven maar één BSN kan krijgen anders krijg je weer allerlei administraties met alternatieve BSNs bij een persoon. Één persoon heeft één nummer en kan als zodanig overal bij de overheid en in de zorg en bij financiële instellingen uniek geïdentificeerd worden.
Reageer
beeldbuijs @daanb1414 maart 2026 19:42
Maar er zijn honderden semi-overheden die daar mee werken, die zouden dan met terugwerkende kracht hun administratie tot terug in de vorige eeuw moeten bijwerken.. Niet realistisch.

Daarnaast blijf je dan bezig want wie zegt dat bij je volgende uitzendbaantje of iets dergelijks niet weer je bsn uitlekt?
Reageer
Yankovic @bytemaster46014 maart 2026 00:53
Er zou dus eigenlijk een intern (afgeschermd) BSN moeten zijn voor alle datakoppelingen en techniek. En een 'publieke' BSN voor communicatie tussen burger en overheid.

Net zoals creditcards en bankpassen moet ik die publieke BSN kunnen blokkeren waarna een nieuwe uitgegeven kan worden (die vervolgens gekoppeld wordt aan die interne/technische BSN). Zodoende hoeft dat principe helemaal niet onderuit gehaald te worden.
Reageer
bytemaster460 @Yankovic14 maart 2026 10:06
Dan houd je het probleem dat je bij een een nieuw publiek BSN de systemen geüpdatet moeten worden en het niet-publieke opnieuw gelinkt moet worden en dat dat in alle systemen die BSn gebruiken gelijktijdig moet gebeuren.
De vraag is hoe erg het lekken van het BSN nu nog is. Tot enkele jaren geleden kon je er van alles mee. Bankrekeningen openen, uitkeringen en toeslagen aanvragen, leningen afsluiten, maar tegenwoordig is dat allemaal dichtgespijkerd via fysieke identificatie. Ik denk dat men daar meer op moet inzetten in plaats van het onmogelijk geheim houden van je BSN.
Reageer
firest0rm @bytemaster46015 maart 2026 10:31
Dat is niet perse nodig als een derde partij het authenticatie deel oppakt.
Een beetje zoals Single Sign On via Microsoft en Google dat doen.

[Reactie gewijzigd door firest0rm op 15 maart 2026 10:37]

Reageer
Arckedo @Yankovic14 maart 2026 20:57
Eigenlijk zouden we gewoon helemaal moeten overstappen op PKI (Public Key Infrastructure) voor iets als BSN's, maar ook voor simpelere dingen zoals handtekeningen zetten. Op die manier is er niets echt geheims meer aan je BSN, terwijl het nog wel identificerende waarde toevoegt.

Het feit alleen al dat het gebruik van een handtekening "even een krabbel zetten" wordt genoemd bijvoorbeeld zegt al genoeg over hoe betrouwbaar het is. Dat het nog gevraagd wordt o.a. bij afleveringen en contracten is dan vanuit mijn oogpunt eigenlijk ook een soort rare achterhaalde vogeltjesdans die wij voor alsnog als van kritiek belang vinden voor de "rechtsgeldigheid" ofzo, terwijl het ongeveer net zo betrouwbaar is als een wassen zegel uit de jaren 1400's

Kunnen signeren of verifieren via NFC met de DigID-app, zou wat dat er gaat een hoop oplossen denk ik. En voor diegene die geen NFC app of smartphone hebben, zouden in principe gewoon een soort authenticator token moeten kunnen krijgen. Ook zou het deur "druppels" kunnen vervangen bijvoorbeeld.

[Reactie gewijzigd door Arckedo op 14 maart 2026 21:11]

Reageer
Comblem @bytemaster46014 maart 2026 12:13
Dit zou überhaupt niet zo moeten werken. Je BSN zou een private key moeten zijn die je nooit direct hoeft te delen met instanties, enkel cryptografisch ondertekende bestanden specifiek voor één doeleinde bij één instantie. Het feit dat het BSN bij alle instanties voor het oprapen ligt is wachten op problemen (en je hoeft evident niet lang te wachten).
Reageer
bytemaster460 @Comblem14 maart 2026 15:31
Als je als fraudeur gewoon niets met dat nummer zou kunnen uitrichten is het probleem natuurlijk ook opgelost. Dan is het niet anders dan een telefoonnummer. Een nummer dat in vele databases staat dat eigenlijk geheim moet blijven werkt gewoon niet. Het BSN maar dan in combinatie met echte identificatie zou het probleem al uit de wereld helpen.
Reageer
Henkieschmenkie @bytemaster46018 maart 2026 12:15
In de BRP is er gewoon een mechanisme voor het toekennen van een nieuw BSN. Oude BRP wordt dan historisch. Bij het vervangen van je BSN ga je dan van een oud uniek nummer naar een nieuw uniek nummer. Achter de schermen staat er op je persoonslijst ook nog een in principe uniek A-nummer.
Reageer
TechSupreme @daanb1414 maart 2026 00:53
Hoezo geef jij jouw BSN aan bedrijven?
Reageer
amigob2 @TechSupreme14 maart 2026 08:27
open maar eens een bank rekening . zonder bsn niet mogelijk
Reageer
TechSupreme @amigob214 maart 2026 11:51
Een bank moet ook voldoen aan zeer zware beveiligingseisen en is constant onder toezicht. Gebruik van een BSN is in de wet geregeld en banken mogen het alleen maar gebruiken voor specifieke toepassingen, lees om meldingen te maken bij de overheid. Ze mogen het intern niet gebruiken.

Dus nogmaals de vraag: hoezo geef jij je BSN aan een bedrijf?

[Reactie gewijzigd door TechSupreme op 14 maart 2026 12:04]

Reageer
2TheMaks @S.McDuck13 maart 2026 21:07
Ze hebben tenslotte gegevens die ik alleen hoor te hebben
Waarom geef je Odido (of wie dan ook) gegevens die je privé dient te houden, zoals bijvoorbeeld je BSN?

Een bedrijf dat zegt een kopie van je identiteitsbewijs (incl. BSN) nodig te hebben? Ogenblikkelijk je middelvinger naar opsteken, nooit meer zaken mee doen, en anderen (inclusief AP) voor waarschuwen.
Reageer
Xalephsis @2TheMaks13 maart 2026 21:31
Jij hebt nog nooit een huis gekocht? Of een telefoon abbonement afgesloten? Of een bankrekening geopend? Ik weet niet onder welke steen jij leeft, maar je hebt echt op zo veel plekken je ID nodig..
Reageer
_Dune_ Moderator OeB @Xalephsis13 maart 2026 21:53
En toch zijn er maar enkele instanties welke jouw ID/paspoort een copy van mogen bezitten. Dat zijn financiele instellingen en jouw werkgever. Daarnaast ambtenaren in functie, mogen vragen een ID/paspoort te overhandigen. Verder mag iemand vragen een ID/paspoort te tonen, maar deze heeft jouw hand niet te verlaten, zeker niet om een copy te maken.
Reageer
xoniq @_Dune_13 maart 2026 22:39
Een abonnement afsluiting = financiële instelling i.v.m. het verstrekken van een lening en die hebben ook gewoon je BSN nodig lijkt me.
maar deze heeft jouw hand niet te verlaten, zeker niet om een copy te maken
Dan kan je op vakantie bijna op straat slapen, aangezien je amper een hotel kunt inchecken zonder ID, als je überhaubt al vervoer naar het land van bestemming een optie is.
Reageer
bytemaster460 @xoniq13 maart 2026 23:29
Voor het afsluiten van een telefoonabonnement is er geen BSN nodig. Die had Odido dan ook niet, behalve van zakelijke klanten omdat voor hen het BSN hetzelfde is als het BTW nummer van de Kamer van Koophandel.
Reageer
TechSupreme @bytemaster46014 maart 2026 01:07
Juist en ook daaruit blijkt dat de gegevens ouder zijn als 2 jaar. BSN als BTW nr. wordt al een tijdje niet gebruikt, ipv geeft de belastingdienst een BTW ID.

https://ondernemersplein....controleren-en-vermelden/

Als de gegevens tot 2 jaar gingen dan zou het exclusief BTW ID's zijn en geen BSN. Met de wetswijziging die nodig was voor de BTW ID is er ook een wijziging ingevoerd waarmee het strikt verboden wordt om een BSN nog in je administratie te hebben.

Ik vraag me af wat justitie hiervan gaat vinden.
Reageer
Gropah @bytemaster46014 maart 2026 09:19
Voor het abonnement zelf afsluiten is inderdaad geen bsn nodig. Maar veel mensen nemen om een telefoon bij hun abo, waarbij ze elke maand wat extra betalen. Dat word gezien als lening en is een financieel product (daarom word de toestellening bij meer dan 250 euro ook bij bkr geregistreerd). Daarom hebben providers vaak wel BSNs van hun klanten.

[Reactie gewijzigd door Gropah op 14 maart 2026 13:23]

Reageer
TechSupreme @Gropah14 maart 2026 11:55
Onzin, het BKR mag je BSN niet registreren. Providers vragen ook niet om je BSN.

https://www.autoriteitper...id-bewijs-wat-kunt-u-doen

Een provider en het BKR mogen alleen je NAW gegevens en het document nr. registreren. Ze mogen niet eens een kopie van je foto.
Reageer
Gropah @TechSupreme14 maart 2026 13:24
Ik had het over de toestellening die geregistreerd word, niet het bsn. Wat bkr allemaal nodig heeft voor die registratie weet ik niet.
Reageer
TechSupreme @Gropah14 maart 2026 13:26
EN wij hadden het over een BSN en het BKR heeft iig volgens de wet niet het BSN nodig.
Reageer
Gropah @TechSupreme14 maart 2026 13:30
Het ging over waarom een provider een bsn nodig heeft, en dat is dus voor het financiële product voor het toestel wat een lening is, waarbij ik de registratie bij bkr gebruik als indicatie dat het echt een lening is.
Reageer
TechSupreme @Gropah14 maart 2026 13:36
Daarom hebben providers vaak wel BSNs van hun klanten.
Het ging hier over het gebruik van BSN als BTW ID. Daarop haak jij in en zegt dat de providers "vaak wel BSNs van hun klanten". De wet zegt dat dat niet mag en daarom hebben ze dat niet.

Financieel product leuk en aardig, maar wij hadden het over BSN. Jij begint over de BKR, ook zij mogen jouw BSN niet hebben.
Reageer
Gropah @TechSupreme14 maart 2026 16:02
Ik zie de ik de fout in ben gegaan. Mijn initiële bericht was bedoeld als reactie op bytemaster460 in 'RTL-onderzoek bevestigt vermoedens: Odido bewaarde data langer dan beloofd'
Reageer
mphilipp @_Dune_14 maart 2026 01:37
Ik wil dat ter discussie stellen. Waarom moet dat ID worden opgeslagen? Tonen zou voldoende moeten zijn. Check het ID en zet een vinkje in het systeem dat het ID is geverifiëerd. Wat moeten ze met de kopie? Wat moeten ze met het nummer van het ID? Allemaal uit gewoonte, geen hond kijkt er ooit nog naar.
Reageer
adebruin @Xalephsis14 maart 2026 10:21
Er is een duidelijk verschil tussen het identificeren van jezelf en het delen van alleen de specifieke ID-gegevens die de ontvanger écht nodig heeft. Dat veel partijen geen idee hebben van de AVG en daarom zomaar een volledige ID-kopie eisen, maakt het niet legaal of juist.

Stel élke keer schriftelijk de vraag: Welke exacte gegevens op de ID zijn nodig en waarom? Gebruik de officiële KopieID-app van de overheid om irrelevante data (zoals BSN, dat bijna nooit nodig is) af te schermen. Verstuur kopieën nóóit via e-mail – dat is vragen om problemen.

Het is jammer dat ontvangende partijen niet proactief aangeven wat ze nodig hebben (iets wat ik in mijn hele leven nog nooit heb meegemaakt). De impact en verantwoordelijkheid liggen bij jou. Welkom in de echte wereld.
Reageer
kwakzalver @2TheMaks13 maart 2026 22:39
Een complete set gegevens kan op diverse manure misprint worden. Zeker omdat dit nu in het criminele circuit beland is, is voorzichtigheid geboden. het is niet de vraag of de gegevens misbruikt worden maar de vraag wiens gegevens misbruikt worden.

Mijn advies (bij minder alerte personen) is nieuw paspoort aanvragen, oude als persoonsgegevens via Odido gestolen aangeven. En bij de bank een verhuizing naar een nieuw rekeningnummer doorzetten (middels verhuisservice).

Het is een poespas. Maar voorkomen is beter dan het slachtoffer worden.
Reageer
bytemaster460 @kwakzalver13 maart 2026 23:31
Het documentnummer van een paspoort is niet vertrouwelijk. Hotels mogen dat ook registreren voor voor de toeristenadministratie t.b.v. de lokale autoriteiten. Het lekken van dat nummer is geen reden voor een nieuw paspoort.
Reageer
liberque @bytemaster46014 maart 2026 10:04
Als ik de dataset zou openen en een paspoortnummer heb samen met andere id gegevens dan is het namaken van een een nep digitale versie van een paspoort zo gedaan. Vervang de foto door je eigen foto en je opent zo bijvoorbeeld een N26 rekening. De enige verificatie die dan nog volgt is een opname van je gezicht om die met je nep paspoort te vergelijken. Done. Gebruik nu die rekening om mensen op te lichten met valse V&A advertenties en je bent safe.

Nee, het documentnummer an sich is wellicht niet vertrouwelijk, maar gecombineerd met alle andere gegevens wel degelijk schadelijk.
Reageer
bytemaster460 @liberque14 maart 2026 10:09
Je kunt bij een nep ID er ook een willekeurig nummer op zetten. Bij controle wordt dat nummer niet gematcht met de gegevens. Bij identificatie voor een bank was er bij meer nodig dan een kopie en een scan van je gezicht. Daar moet men gewoon op inzetten dat je je echt identificeert in plaats van dat je enkel zelf gegevens uploadt. De meeste instanties hebben dat al en dan maakt het lekken van die nummers niets meer uit.
Reageer
liberque @bytemaster46014 maart 2026 12:07
Het punt is niet dat je een willekeurig nummer op een nep ID kunt zetten, maar dat een echt documentnummer in combinatie met naam, geboortedatum en documentgegevens juist helpt om controles te omzeilen bij partijen die alleen document- en gezichtsverificatie doen. Niet elke dienst checkt realtime tegen een overheidsdatabase. Daarom zijn datasets met complete ID-gegevens wél interessant voor fraudeurs.
Reageer
bytemaster460 @liberque14 maart 2026 15:28
Maar een verificatie via gezicht en document is anno 2026 gewoon geen verificatie meer. Een vervalsing komt daar dan altijd doorheen. Ik heb overigens nog nergens gezien dat enkel het uploaden van documentgegevens tegenover een gezichtsverificatie geldt als echte identificatie. Of de gegevens werden uitgelezen en vervolgens mijn gezicht gecontroleerd of ik moest inloggen via iDIN.
Reageer
liberque @bytemaster46014 maart 2026 15:38
Internationale banken zoals N26 doen dit gewoon. ING deed het vorig jaar . zelfs toen ik een nieuwe rekening opende

Of de gegevens werden uitgelezen en vervolgens mijn gezicht gecontroleerd Dit maakt juist dat het documentnummer van je ID icm naw gegevens wel degelijk een issue is. Foto van jezelf op een vervalst ID en de gezicht controle komt er gewoon doorheen.
Reageer
bytemaster460 @liberque14 maart 2026 17:30
Het kan dat ze dat zo doen maar dan denk ik dat dat eerder veranderd moet worden en dat je je cht moet identificeren dan tegen de bierkaai blijven vechten door te doen alsof een BSN geheim moet blijven.
Reageer
Daoka @2TheMaks14 maart 2026 06:11
@TechSupreme
De AVG is natuurlijk maar een aantal jaar oud. Ik heb mijn internet al langer dan dat de AVG er is. Daarnaast was het natuurlijk ook gewoon een andere tijd. Men was niet zo bezig met privacy, bedrijven waren veel minder van de data zoals nu en lekken werden meestal niet gemeld dus het leek toen ieder geval minder als een probleem.
Reageer
TechSupreme @Daoka14 maart 2026 06:15
De overheid heeft altijd heel duidelijk gezegd dat je je BSN voor je moet houden en dat er maar een handjevol toepassingen voor is. Gebruik van een BSN is per wet geregeld; dat is niet van vandaag of morgen.

[Reactie gewijzigd door TechSupreme op 14 maart 2026 06:18]

Reageer
Daoka @TechSupreme14 maart 2026 13:44
Dat klopt. Het is niet zo dat we de Hema ofzo ons ID kaart / BSN lieten kopiëren. Maar een provider leek wel anders. Daar dachten mensen dan dat het bijvoorbeeld moest omdat als je een grote risico online was dat de politie je makkelijker kon vinden. En aangezien de meeste toch niets geks van plan waren leek het geen kwaad te kunnen. Daarnaast omdat dus meerdere bedrijven dit nodig hadden (zoals de banken en verzekeraars) leej het dus niet vreemd. En mensen hadden bij hun eerste internet minder ervaring met / kennis van computers dus er werd überhaupt ook niet echt gedacht aan dat het op een computer opgeslagen zou worden. Meer een papieren dossierkast ofzo.
Reageer
TechSupreme @Daoka14 maart 2026 14:22
Kopieerapparaat bij de HEMA? Jij hebt het over 20 jaar geleden. Nauwelijks een argument, aangezien (zoals je zelf ook zegt) destijds de aanvallen niet zo wijdverspreid waren. Vandaag de dag hebben we te maken met een andere realiteit.
Reageer
Daoka @TechSupreme14 maart 2026 17:28
Ik bedoelde alleen dat men dus vroeger ook zeker niet aan elke winkel dus zo maar een BSN lieten zien. Hema was het eerste in mijn op kwam. Maar ja ik heb het wel inderdaad over langer geleden ja. Ieder geval voor de AVG. Door de AVG zijn mensen bewuster geworden. Maar 13 jaar gelegen toen ik mijn internet daar nam voelde het dus niet vreemd dat een provider dus een kopie wilde. Het zal best kunnen dat zulke oude documenten ook nooit gewist zullen zijn.
Reageer
TechSupreme @Daoka15 maart 2026 02:31
De wet die het gebruik van BSN regelt, is al ouder dan dat. Bedrijven hebben altijd al geen BSN mogen registreren, tenzij het gaat om interactie met de overheid, en die interactie is zeer nauw in de wet gedefinieerd.

Een BSN heeft geen enkel ander nut dan een persoon bij de overheid identificeren. Daarnaast is het voor bedrijven natuurlijk een zeer gewild nummer, want je kunt alles veranderen (zelfs je naam), maar je BSN blijft constant. Juist om die reden mogen bedrijven het dus ook niet gebruiken.

Er was toen geen enkele reden waarom je wie dan ook met je BSN zou vertrouwen en vandaag de dag is dat 10x zo.
Reageer
nielsnederveen @S.McDuck13 maart 2026 22:33
Helemaal mee eens. Datalekken zijn helaas een gegeven. We moeten naar een systeem waar je niet met een setje statische gegevens van alles en nog wat kan aanvragen. Nu werkt de EU aan een digitaal id wat hier verandering in zou kunnen brengen. Hoop echter niet dat de remedie erger wordt dan de kwaal.
Reageer
mphilipp @S.McDuck14 maart 2026 01:30
BSN heeft niemand iets aan, want het betekent alleen iets voor de overheid. Dus het lijkt mij heel erg sterk dat je met een BSN van iemand iets kunt.
En als je iets wilt afsluiten zoals een bankrekening, moet je gewoon een ID hebben, en haal vaak ook nog een recent bankafschift. Alleen de gegevens is niet genoeg, Nog nooit meegemaakt dat men zegt 'je rijbewijsnummer is voldoende' want daar heeft geen hond wat aan. Ze moeten dat object zien, je rijbewijs, id of paspoort.

Wel is het zo dat de gegevens vaak als controlevragen worden gesteld. Dus als ik die dingen van jou weet, kan ik bv telefonisch jouw Odido abonnement veranderen of opzeggen, of je account laten resetten, zodat ik erin kan. Zou een leuke testcase zijn om te zien hoe ver je bij een bank komt, maar in het geval van ING bijvoorbeeld, heb je toch ook weer een fysieke ID nodig om de bankapp te activeren. Dus hoe je dat zou moeten aanpakken weet ik zo snel niet. Misschien zijn die criminelen slimmer :+

Neemt niet weg dat het een zeer kwalijke zaak is wat er gebeurd is. Het maakt eigenlijk helemaal niet uit wat iemand wel of niet met die gegevens kan, het feit dat ze open en bloot op het netwerk stonden (ja, in de applicatie, maar voor iedere medewerker toegankelijk), slecht beschermd (gestolen credentials en een lulverhaal was voldoende) en te lang bewaard is bespottelijk. Het feit ook nog eens dat men gegevens heeft opgeslagen en bewaard die ze naar mijn idee helemaal niet nodig hebben voor de uitvoering van hun taak. Dat je die gegevens moet tonen is ok, maar zet dan alleen een vinkje in het systeem 'id gecontroleerd'. Je hoeft echt geen paspoortnummers en bsn's op te slaan. Odido heeft alleen mijn naw en misschien geboortedatum nodig, hoewel ook dat laatste discutabel is. Het maakt voor hen geen fluit uit of ik 19 of 59 ben. Ze moeten een dienst leveren. Klaar. Maak een einde aan het zinloos verzamelen van data. Dat maakt je ook nog eens minder kwetsbaar voor diefstal van die data.

En ze moeten de boel beter beveiligen. Bijvoorbeeld door af te dwingen dat iedere medewerker met een compliant device werkt. Dus een die gekoppeld is aan hun account, up to date en gescand is op malware e.d. En dan ook nog eens op het netwerk aangesloten is via een bedrijfs-VPN. Op die manier maak je het erg moeilijk voor hackers om binnen te dringen. Alleen aan credentials en een overgenomen 2FA heb je dan ook niets meer aan.
Reageer
VHware @mphilipp14 maart 2026 05:25
Nee helemaal niet bedrijfs-VPN, maar een ZTNA (Zero Trust Network Access) oplossing. Met ZTNA heb je alleen toegang tot interne applicaties en daarmee specifiek ook alleen die netwerkverbindingen waar je tot geautoriseerd bent als gebruiker en niet het hele netwerk zoals VPN. Ook nog eens alleen jouw usercontext, de systemcontext heeft de toegang niet. Ook krijg je geen toegang als je device niet voldoet aan compliance-eisen.

Voorbeelden van ZTNA oplossingen zijn zScaler en Microsoft Global Secure Access
Reageer
mphilipp @VHware14 maart 2026 16:30
Zoiets bedoel ik, maar ik ben geen netwerkdeskundoloog, dus ik noem het bedrijfs-vpn... :)
Reageer
VHware @mphilipp14 maart 2026 18:24
Ja, issue is dat er vele bedrijven dus nog daadwerkelijk traditioneel VPN doen, daarom dus de uitleg over ZTNA en waarom je niet VPN wil, maar ZTNA.
Reageer
themrmes @S.McDuck14 maart 2026 07:27
Het BSN is een gevoelig gegeven, maar geen bijzonder persoonsgegeven.
bron AP voorwaarden BSN gebruik
Reageer
Triblade_8472 @padoempats13 maart 2026 19:40
Koop/lees het boek "komt een vrouw bij de h@cker". Daarin staan voorbeelden/waargebeurde verhalen. Niet tof. Ergste geval is een man die zeer regelmatig, jarenlang, door de politie uit z'n bed gelicht wordt omdat z'n bsn misbruikt is door een zware crimineel en de politie deze niet uit hun systeem krijgt. Meerdere banen er al door kwijtgeraakt en z'n huis overhoop gehaald en spullen in beslag genomen.
Reageer
The Realone @Triblade_847213 maart 2026 20:06
Dan moet men misschien zich eens drukker gaan maken over het feit dat de politie die "niet uit het systeem krijgt", want dat is de echte oorzaak van dat probleem.
Reageer
Xalephsis @The Realone13 maart 2026 21:35
Nee, de echte oorzaak is dat je nummer niet gedeeld had mogen worden. En bij een uitbraak je een nieuwe nummer moet kunnen krijgen en je oude nummer komt te vervallen met een datum van sluiting. De overheid weet als het goed is wel welke documenten met dit nummer zijn uitgegeven en kan deze dan opnieuw aan gaan maken, de kosten mag je verhalen op de instantie die verantwoordelijk is geweest voor de uitbraak.

Tot jij nieuwe documenten hebt kun je je oude documenten wel blijven gebruiken, maar bij het controleren van het document komt dan duidelijk in beeld dat het oorspronkelijke nummer op het document vervallen is en er waarschijnlijk extra controles nodig zijn om te valideren dat de persoon die je aan het controleren bent, ook daadwerklijk die persoon is.
Reageer
The Realone @Xalephsis13 maart 2026 22:25
Het is een BSN nummer, geen pincode. Niet iets wat anderen per se hoeven weten, maar ook echt geen zwaarbeveiligd geheim, het staat ook gewoon open op je ID kaart geprint.

Van BSN nummer veranderen lijkt me voor iedereen een regelrechte nachtmerrie. Bedrijven zoals Odido aanpakken lijkt me een veel betere oplossing, in alle opzichten.
Reageer
beeldbuijs @Xalephsis13 maart 2026 21:55
Het bsn is nooit bedoeld als beveiliging en werd of wordt daar ook niet voor gebruikt. Het is puur om personen uit elkaar te houden in de administraties vs de overheid.

Je hoeft niet eens Nederlander te zijn om een bsn aan te kunnen vragen en te krijgen.

Het heeft dan ook weinig zin om burgers een nieuw bsn te geven als het bestaande bsn openbaar is geworden. De overheid doet dat daarom ook niet.
Reageer
MsOnalicious @padoempats14 maart 2026 07:47
In België was er een tijdje terug ook een grote hack van persoonsgegevens bij Orange. Met de persoonsgegevens die daaruit geheeld werden, kunnen perfect datasets gemaakt worden van bvb. alle klanten ouder dan 65 jaar. Daar kunnen vervolgens phishing bendes mee aan de slag om hun scams te proberen.

Aangezien er in de dataset van Odido ook opmerkingen bij klantendossiers staan als “juist gescheiden, zeg niets over de partner” etc. betekent dat zo’n bendes zelfs nog minder moeite moeten doen om kwetsbare slachtoffers te selecteren.

Iedere aspect van jouw identiteit en persoonsgegevens is nu eenmaal een potentiële aanvalsvector die tegen je gebruikt kan worden.
Reageer
padoempats @MsOnalicious14 maart 2026 09:06
Ik had het ook specifiek over BSN, wat een nummer is. Als je die nergens kan gebruiken voor registratie of authenticatie, zou het nummer waardeloos moeten kunnen zijn. Althans, dat moeten we dan wel afdwingen dat derde partijen een bsn niet daarvoor gebruikt
Reageer
Harmakhet @padoempats14 maart 2026 09:25
Het lijkt me dat een BSN eerder 'andersom' gebruikt wordt. Voor social engineering. Een hacker benadert een slachtoffer als bijvoorbeeld overheidsinstelling waarbij hij gebruikt maakt van het BSN om vertrouwen te winnen.
Reageer
Sanghelios @padoempats14 maart 2026 14:27
Door mensen te mailen, bellen, zelfs aan de deur te gaan en daar een aantal waarheidsgetrouwe gegevens te vermelden.

Vaak is dat helaas vaak genoeg om mensen overstag te krijgen om bepaalde handelingen uit te voeren.
Reageer
Conrado @padoempats14 maart 2026 14:34
Niets, maar het wekt vertrouwen bij slachtoffers als hackers dat soort gegevens beschikbaar hebben.
Reageer
Triblade_8472 @S.McDuck13 maart 2026 19:43
Waar ik nog vurige op hoop is direct een inval controle bij alle instanties die jouw bsm/ID kopie mogen hebben. En dan niet steekproefsgewijs, maar een serieuze doorlichting.

We weten ondertussen allemaal wel dat een ISO en ISAE certificeringen een wassen neus zijn. Als je ze al niet tegen betaling zomaar krijgt, dan stellen de checks ècht niks voor.

Niks steekproef controle, nee, een 100% check. Allemaal. Desnoods met standaard software op de meestgebruikte databases, zoals Salesforce.
Reageer
2TheMaks @Triblade_847213 maart 2026 21:29
Voor zover ik weet mag een instantie alleen het BSN van personen vragen of in hun administratie opnemen wanneer:
  • het een overheidsinstantie is
  • het een erkende zorgverlener is
  • het een loonadministratie van werknemers betreft
  • voor een administratie in het onderwijs
Reageer
andries98 @2TheMaks13 maart 2026 23:14
Volgens mij vergeet je financiele instellingen. Dus alles waarbij je een lening kunt afsluiten.
Reageer
Triblade_8472 @2TheMaks13 maart 2026 23:54
En een telefoonabonnement afsluit.
Reageer
wooha @Triblade_847214 maart 2026 01:03
Niet volgens de Autoriteit Persoonsgegevens :
Abonnement mobiele telefoon aanvragen

Vraagt u een abonnement voor een mobiele telefoon aan? Dan mag de telecomaanbieder een kopie maken van uw identiteitsbewijs, zoals uw paspoort of identiteitskaart. Hierbij moeten in ieder geval uw burgerservicenummer (BSN) en uw pasfoto zijn afgeschermd.

Een (afgeschermde) kopie van het identiteitsbewijs is bedoeld om achteraf te kunnen bewijzen wie het telefoonabonnement heeft afgesloten en om identiteitsfraude tegen te gaan.
(Vet en cursief markering toegevoegd.)

Odido schreef ook dat ze geen BSN mogen verwerken. Oude BTW-nummers met ingebedde BSN van ZZP'ers zijn een uitzondering. Informatie over BSN nummers lijkt inmiddels verdwenen van hun pagina, misschien vanwege die uitzondering.

Bij een lening voor aankoop van een telefoon zal het vast weer anders zijn.

[Reactie gewijzigd door wooha op 14 maart 2026 01:15]

Reageer
Sando @S.McDuck13 maart 2026 19:30
Eens. Het is al moeilijk genoeg dat je niemand kunt vertrouwen met je data omdat iedereen vroeger of later een datalek heeft. Maar nu gaan bedrijven ook nog liegen en permanent je data bewaren zodat je gegevens altijd op straat liggen ook al ben je al jaren weg?

Als er geen consequenties zijn, dan gaat er niks veranderen.
Reageer
DocMac @Sando16 maart 2026 06:37
Ik word er zeker een beetje paranoïde door. Ik ben al bijna 15 jaar weg bij T-Mobile maar ik kreeg vorige week een phishing telefoontje op mijn mobiele nummer. Nooit eerder zoiets gehad want ik zet mijn nummer niet overal op internet. Ik heb geen mail gehad van Odido en het kan ook een randomiser zijn geweest en niet uit een database geplukt. Ik ben wel heel benieuwd hoeveel data er echt gestolen is. Want ik krijg echt nooit spam calls, behalve vorige week dus.
Reageer
Lisadr @S.McDuck13 maart 2026 20:07
Grappig als er straks weer 5 miljoen naar de AP gaat, maar ik zit met de rotzooi van een bedrijf die het niet zo nauw neemt met de (wettelijke) verantwoordelheden.
Geld gaat niet naar AP, maar naar de staat. Hopelijk geen 5 miljoen, maar een maximale boete van 4% omzet (ongeveer 95 miljoen euro).
Reageer
Max|Burn @S.McDuck14 maart 2026 10:19
Eens. Ik ben geen klant meer, geen bericht van Odido gehad dat mijn data gelekt is/gestolen is..maar volgens politie.nl / check sites zit ik er wel degelijk bij. Heb dus ook geen idee welke informatie er rondgaat. Dit is echt nalatigheid. Meer data bewaren dan nodig, langer dan nodig is en je klanten / voormalig klanten niet of half informeren en waar er wel communicatie was alvast de expliciete melding dat je geen vergoeding moet verwachten. Totaal niet klantvriendelijk. Schandalig en blij dat ik weg ben bij dit wanbedrijf.

[Reactie gewijzigd door Max|Burn op 14 maart 2026 10:20]

Reageer
hoosterb @Max|Burn16 maart 2026 05:33
Bij mij ongeveer zelfde verhaal ( al lang bij hen weg )alleen kreeg ik wel een waarschuwingmail. En sinds kort op mijn nieuwe mailadres ook nep-aanmaningen en andere zooi, weg is mijn mooie schone spamvrije mailadres... Maar bewijs dat maar eens, betekent wel een heleboel gedoe en ook verlies van privacy en veiligheid.
Reageer
Backspin @S.McDuck14 maart 2026 12:49
Wat heb je aan een massaclaim? Mensen willen overal maar geld voor zien, maar beseffen niet dat boetes (of claims) voor een bedrijf uiteindelijk gewoon zorgen voor hogere abonnementskosten. Een sigaar uit eigen doos dus. En het salaris van de verantwoordelijken gaat er echt geen cent van omlaag. Wat mij betreft mag je gewoon gevangenisstraffen uitdelen aan de eindverantwoordelijken. Die kennen zichzelf namelijk ook bonussen toe als het goed gaat (dan zien ze zichzelf daar namelijk verantwoordelijk voor), dus stel ze ook maar persoonlijk verantwoordelijk als blijkt dat een bedrijf zich niet aan de wet (of eigen voorwaarden) gehouden heeft door data langer te bewaren dan nodig.
Reageer
gedonie @S.McDuck14 maart 2026 15:36
En hoe wil je die massa claim gaan doen. Als persoon die de rechtzaak start moet jij bewijzen welke schade je hebt geleden en welke kosten daaraan verbonden zijn.

Bewijs maar eens dat je schade hebt geleden, en dan nog lastiger bewijs eens hoeveel. Zonder dit heb je geen poot om op te staan. Odido wordt dan wellicht schuldig bevonden, maar geen boete bedrag opgelegd omdat jij niet kunt bewijzen.
Reageer
loewie1984 @S.McDuck13 maart 2026 22:50
Ik ben het volledig met je eens. Als je dit leest vind ik Odido echt zelfzuchtig geweest.
Ja met criminelen onderhandel je niet en het wordt afgeraden om te betalen. Maar in dit (https://www.nrc.nl/nieuws...inkedin&utm_term=20260313) artikel valt te lezen dat ShinyHunters het bedrag wilde verlagen naar 0.5 miljoen.

Wat mag het kosten om de gegevens van miljoenen Nederlanders niet op straat te laten belanden.
Ongeveer 8 cent per Nederlander uiteindelijk. En nu lopen wij allemaal het risico dat we gehacked worden, identiteitsfraude, of gephished worden.
Reageer
Conrado @loewie198414 maart 2026 14:37
Alleen heb je daarmee nooit garantie dat de gelekte data niet lekt. Voordat je het weet staat de data op een brakke server die door andere partijen leeggezogen wordt. Nu weten we in ieder geval dat we moeten opletten.
Reageer
jongetje
@S.McDuck14 maart 2026 07:19
Waarom roept men elke keer dat het BSN is gelekt, dit is helemaal niet te geval. Stop daarmee want geeft alleen maar enorme verwarring en schiet niemand iets mee op.
Reageer
YGDRASSIL @S.McDuck14 maart 2026 08:20
'gooien mijn prive data op straat' is natuurlijk niet hoe het is. Ze zijn gehacked en dus slachtoffer van een setje criminelen. Dat negatieve overdrijven is wel een trend op (onder andere) tweakers de laatste jaren.
Reageer
jigalvh @YGDRASSIL15 maart 2026 11:32
Die redenatie is ook te kort door de bocht. Odido (en veel andere bedrijven) verwerken persoonsgegevens en daarmee hebben ze de verantwoordelijkheid om die goed te beschermen, Als je dan bekijkt wat Odido gedaan en gelaten heeft:
  • Gegevens langer bewaard dan zelf beloofd en zeker langer dan strikt noodzakelijk
  • Gegevens bewaard die ze niet strikt nodig hebben
  • Gegevens leesbaar gelaten voor support medewerkers
  • Geen monitoring van verdachte gedragingen in hun netwerk
  • Blijkbaar te weinig training van medwerkers om data te beveiligen
Als er zoveel dingen niet goed zijn gegaan dan snap ik dat het voelt alsof de data gewoon open en bloot beschikbaar was.
Reageer
YGDRASSIL @jigalvh15 maart 2026 23:28
Als een bank beroofd wordt en niet echt goed beveiligd bleek te zijn zeg je ook niet dat ze je geld op straat hebben gegooid. Ja Odido is (flink) tekortgeschoten op beveiligingsgebied. That's it. En ze zijn nog steeds ook slachtoffer.
Reageer
Mathijs Kok @S.McDuck15 maart 2026 19:02
Als inderdaad geld MOET uitgeven om misbruik tegen te gaan heb je even uitstekende kans die kosten te kunnen verhalen. Je zal het echter wel heel duidelijk moeten maken dat de schade door deze hack kwam en niet door een van de vele anderen.
Reageer
hoosterb @S.McDuck16 maart 2026 05:28
Door de slordigheid bij Odido (heeft Tele2 over genomen ) krijg ik nu , terwijl ik er al meer dan anderhalf jaar weg ben, op mijn nieuwe mailadres ineens nep-aanmaningen en andere zooi. Erg vervelend, ik had tot nu toe nul spam en zo, sinds enige tijd meerdere per week. Ik hoop dat ze een fikse boete krijgen.
Reageer
slaay 13 maart 2026 19:49
Maar hoe zit dat dan met dit stuk uit het privacystatement van Odido:

"Als je een toestelkredietovereenkomst hoger dan € 250 bij ons wilt aangaan, dien je een inkomens- en lastentoets in te vullen en dienen we je toestelkrediet te registeren bij het BKR. We bewaren de gegevens over het toestelkrediet tot maximaal 5 jaar nadat het toestelkrediet is afgelost."

Dan is het toch logisch dat er ook gegevens in de dataset staan tot 5 jaar oud? RTL lijkt zich nu puur op die twee jaar te focussen, terwijl het ook toegestaan is volgens het privacystatement om ze tot 5 jaar te bewaren indien je een toestel kredietovereenkomst bent aangegaan.
Reageer
E!Ma0RB7 @slaay14 maart 2026 14:09
Ik vind de berichtgeving van RTL ook niet vrij van sensatie.

Bewaartermijnen definieer je per definitie per verwerking. Als ik klant ben/wordt, dan treden er meerdere verwerkingen in werking.

Als de ene verwerking stopt (stoppen met het afnemen van de dienst) dan betekent dat niet dat meteen al mijn gegevens verwijderd moeten worden als er voor andere verwerkingen nog legitieme bewaartermijnen van kracht zijn.

Natuurlijk kan Odido hier fouten in maken, maar op basis van de RTL berichtgeving wordt mij niet helemaal duidelijk wat Odido nu precies te lang heeft bewaard.
Reageer
jigalvh @E!Ma0RB715 maart 2026 11:48
Als de ene verwerking stopt (stoppen met het afnemen van de dienst) dan betekent dat niet dat meteen al mijn gegevens verwijderd moeten worden als er voor andere verwerkingen nog legitieme bewaartermijnen van kracht zijn.
Het betekent ook niet dat alle gegevens overal bewaard moeten worden/toegankelijk moeten zijn omdat er nog bewaartermijnen van kracht zijn.

Facturen moeten bewaard worden voor de belastingsdienst, maar die termijn is niet relevant voor gegevens die leesbaar zijn voor een helpdeskmedewerker.
Reageer
wiseger @slaay13 maart 2026 21:38
Odido bewaarde de gegevens in het klantenservice systeem waarbij alle klantenservice medewerkers er toegang tot hadden.

Er is niets mis met het bewaren van gegevens in retentie maar dat doe je niet in algemeen toegankelijke systemen met notabene een interface naar Internet. Retentie data zet je in een archief systeem waar ze stukken veiliger staan en niet het halve bedrijf toegang tot die data heeft. En wil je het heel mooi doen, dan zet je de data daarin offline. Dus heb je de data dan jaren later nodig voor de fiscus, dan laad je die data in.
Reageer
E!Ma0RB7 @wiseger14 maart 2026 14:02
Die BKR gegevens kunnen wel degelijk relevantie hebben bij een klantenservice. Deze klantenservice helpt klanten bij het afsluiten van nieuwe of wijzigen van bestaande abonnementen.

Een kredietstatus is dan gewoon nodig.
Reageer
wiseger @E!Ma0RB714 maart 2026 14:07
Odido bewaart zelf geen BKR gegevens. BKR gegevens staan bij de BKR. Dus heeft Odido alleen maar de eigen gegevens van klanten die een toestel bij hun op krediet hebben. Odido heeft geen gegevens over kredieten die de klant elders heeft of de status van die kredieten elders.

Bij een nieuwe aanvraag of wijziging zal er gewoon een nieuwe BKR check gedaan moeten worden bij de BKR om te zien hoeveel schuld er in totaal is en wat de BKR coderingen op die schulden zijn.
Reageer
E!Ma0RB7 @wiseger14 maart 2026 14:11
Je hebt inderdaad gelijk. Dat is natuurlijk waarom BKR een apart register is.

Dank dat je me corrigeerde!
Reageer
hoosterb @E!Ma0RB716 maart 2026 05:40
Nooit een toestel van hen gekocht, niks BKR of andere reden mijn gegevens te bewaren. Toen Tele2 ophield te bestaan ben ik van provider veranderd, Odido heeft geen enkele reden mijn gegevens te bewaren. Maar ik kreeg wel een mail van hen dat mijn gegevens gehackt zijn en sindsdien krijg ik voor het eerst ook nepmailtjes en spam op mijn huidige mailadres.
Reageer
E!Ma0RB7 @hoosterb16 maart 2026 19:11
Odido heeft geen enkele reden mijn gegevens te bewaren.
Tip: je hebt het recht dit te checken bij Odido.

Dan weet je zeker of en hoe erg Odido de fout in is gegaan en of jouw Tele2 tijd de oorzaak was.
Reageer
Azenomei @slaay13 maart 2026 20:26
Volgens mij moet je ook gewoon klantgegevens 7 jaar bewaren van de belastingdienst. Niet direct voorhanden met service inlog, maar wel bewaren.
Reageer
slaay @Azenomei13 maart 2026 20:53
"Voor de Belastingdienst zijn wij verplicht factuurgegevens maximaal 7 jaar na einde van het abonnement/contract te bewaren. "

Dan is de vraag of ze ook daadwerkelijk klantgegevens moeten bewaren of alleen de (geanonimiseerde) facturen.
Reageer
Azenomei @slaay13 maart 2026 21:01
Goede vraag. Geen idee eigenlijk. Wij bewaren overeenkomsten ook zo lang, maar niet toegankelijk voor iedereen.

[Reactie gewijzigd door Azenomei op 13 maart 2026 21:02]

Reageer
m_snel @slaay13 maart 2026 22:01
Dat is vrij simpel, als je zaken doet dan moet je dus de persoon waarmee je zaken doet gewoon kunnen overleggen.

Anders kun je natuurlijk duizenden nep facturen uitje duim zuigen.
Reageer
Mathijs Kok @slaay15 maart 2026 19:06
"Voor de Belastingdienst zijn wij verplicht factuurgegevens maximaal 7 jaar na einde van het abonnement/contract te bewaren. "

Dan is de vraag of ze ook daadwerkelijk klantgegevens moeten bewaren of alleen de (geanonimiseerde) facturen.
nee die moeten echt tot een klant te herleiden zijn. Ik zit al jaren met een bestand dat de AVG wil dat ik weg doe maar de belastingdienst zegt dat ik die moet bewaren.
Reageer
Conrado @Azenomei14 maart 2026 14:44
Betalingsgegevens zijn wat anders dan alle klantgegevens. Los daarvan mag je, je afvragen waarom dat de SalesForce DB vol zit met zaken als BSN-nummers of Bankrekeningnummers. Die zijn voor normaal gebruik niet nodig. Daarnaast is het opvallend dat met het hacken van de credentials van één supportdesk medewerker, alle data toegankelijk is.En als laatste dat je dus 6 milj records kunt downloaden, zonder dat er een alarmbel afgaat.

Vragen, vragen, vragen...
Reageer
Xorgye @slaay15 maart 2026 10:08
Ik stond er ook nog in maar als dat vanwege een credit overeenkomst was dan is dat rond 2010 geweest toen ik een mobiel van T-Mobile had (toestel + abbo).

Van 2021 tot 2023 heb ik DSL internet van hen gehad. Daar is absoluut geen krediet voor nodig.
Reageer
Mathijs Kok @Xorgye15 maart 2026 19:09
2023? Dan moeten ze die gegevens van de belastingdienst nog bewaren. Niets aan de hand dus.
Reageer
Nairu777 13 maart 2026 22:28
Oké, maar daarbij even een andere vraag: mijn data ligt bij Odido, Shinyhunters, de politie, have I been pwned, RTL en NOS. Zijn er nog meer partijen die willen meekijken?

Ik snap best dat vanuit het principe van heling ik de data niet mag downloaden, maar ik vind het zeer vreemd dat vanuit blind vertrouwen, wat ik overig niet heb uitgesproken naar een aantal van die partijen, mijn gegevens wel door hen allemaal verwerkt mag worden. Wie zegt dat die medewerkers van NOS of RTL goed met je data omgaan? Dan vind ik het onrechtvaardig dat zij wel bij die data kunnen en zodra ik het probeer riskeer ik een gevangenisstraf en een geldboete. En ik heb de wetten gelezen, maar nog is het van de zotte dat om verder uitlekken te voorkomen de data niet "zomaar" gedownload mag worden. Ik ben van mening dat de media hierin ook moet worden teruggefloten. Wat is hun verdere bijdrage dan naast de officiële instanties?
Reageer
E!Ma0RB7 @Nairu77714 maart 2026 13:31
Het antwoord waar je waarschijnlijk niet naar op zoek bent:

Het verschil zit hem in doelbinding en grondslag. Jij en ik hebben geen enkele reden om van 6,5 miljoen - 1 vreemden deze gevoelige gegevens te bezitten. Net zoals Shinyhunters geen legitiem doel hiervoor heeft. Jij, ik en Shinyhunters hebben geen geldige grondslag.

Als jij exact wil weten welke gegevens Odido van jou had/heeft, dan kan je daar bij Odido naar vragen. Dat is je recht. Dus je hebt die hele dataset ook niet nodig.

De politie en journalisten hebben een functie van algemeen belang. Dat is hun doelbinding en grindslag. Zij pluizen deze datasets door in ieders (en ook jouw) belang. Natuurlijk zitten daar risico's aan, maar die zijn relatief klein en naar mijn idee ook in balans met de voordelen. De partijen die dit doen, moeten zich hier trouwens ook gewoon aan de AVG houden (en zich dus verantwoorden over deze verwerkingen).

[Reactie gewijzigd door E!Ma0RB7 op 14 maart 2026 13:55]

Reageer
Conrado @Nairu77714 maart 2026 14:39
De data is openbaar, dus er zullen al best wat kopieën zijn. Politie en HIbp hebben enkel de email-adressen en daarvan enkel de hashes.
Reageer
HADES2001 13 maart 2026 21:25
Ouch, succes om dit te verantwoorden wat betreft de AVG. Hopelijk word dit het eerste bedrijf die ze maximaal vervolgen want de impact nu is gigantisch. En nee niks tegen odido op zich maar grote bedrijven moeten veel voorzichter met onze burger data om gaan. Als Odido dan nu de eerste is dan so be it.
Reageer
m_snel @HADES200113 maart 2026 21:59
Ik heb onlangs hun privicy statement door genomen en daar staat heel wat anders dan RTL beweert.

Ze zijn alleen al door de belastingdienst verplicht om gegevens zeven jaar te bewaren. Verder staat er dat als je een geschil hebt dat ze nog twee jaar nadat die is opgelost bewaren, dan zit je al aan negen jaar, en dan tel ik een rechtszaak van misschien jaren niet eens mee.
Reageer
aikebah @m_snel15 maart 2026 16:50
Dat geschil met ze loopt parallel aan die fiscale bewaartermijn, dus het blijft gewoon 7 jaar (of einde geschil+2 jaar (en dus feitelijk maar "2 jaar na laatste dienstverlening-gerelateerde opslag") als je het heel erg bont maakt in je geschil)
Reageer
m_snel @aikebah16 maart 2026 13:11
Het lijkt me vrij duidelijk dat als je in een rechtszaak verwikkeld bent je helemaal niet gaat weg gooien. Dat lijkt me niet handig en kan wellicht zelfs strafbaar zijn. Maar goed een zaak duurt ook al snel jaren, want dat zal niet direct een kort geding zijn.

Ik heb twee keer meegemaakt dat ik ten onrechte aanmaningen kreeg bij verschillende bedrijven, alleen dat duurde al ongeveer twee jaar. Een voor water naar de zee dragen die ik dus bewust niet betaald had en een andere waarbij ik onder rembours betaald had wat ze blijkbaar niet goed geregistreerd hadden.
Reageer
aikebah @m_snel19 maart 2026 18:54
De 7 jaar voor de belasting loopt parallel met de "2 jaar na beëindiging conflict". Bij einde contract start de 7 jaar, dus je kunt na opzeggen nog 5 jaar met ze vechten en dan nog is de data 7 jaar na contractbeëindiging je data verwijderbaar.
Reageer
rko4u 13 maart 2026 19:07
Fijn dat RTL dit heeft ‘uitgezocht’, maar NOS bracht dit al op 17 februari dit bericht in het Financiele dagblad. https://nos.nl/artikel/2602804-odido-overschrijdt-eigen-termijn-bewaren-gegevens

[Reactie gewijzigd door rko4u op 13 maart 2026 19:08]

Reageer
Stollie @rko4u13 maart 2026 19:14
Dit wordt teminste dubbel gecontroleerd. Het verwijderen van de data niet. :/ Ik was ook al jaren geen klant meer.
Reageer
HandheldGaming @Stollie13 maart 2026 19:28
Ik ben er door het lek ook achtergekomen dat Odido alle E-mailadressen die ik ooit bij hun heb gebruikt in de dataset had. Ook E-mailadressen die ik al jaren niet meer bij ze gebruik, daardoor weet ik ook dat zij niks verwijderen.

Ik heb namelijk ongeveer 2 jaar geleden al mijn accounts en Emailadressen bij Odido zelf geconsolideerd in één account met één E-mailadres. Alle andere heb ik verwijderd (Odido dus niet).

Ik ben nu op een punt aangekomen dat ik er sterk over twijfel om niet alleen mijn wachtwoorden uniek te maken maar ook al mijn E-mailadressen. Gelukkig kan dit via mijn E-mailprovider. Dat is een klusje. Maar het lijkt te moeten.
Reageer
henkkeumus @HandheldGaming13 maart 2026 19:36
Aliasje aanmaken. Met office365 is dat gewoon een + toevoegen in je adres.

als je hoofdadres voorbeeld@domein.nl kun je een alias aanmaken zonder dit in het adminpanel te maken door gewoon voorbeeld+alias@domein.nl in te vullen.

Niet elk formulier accepteert een + in een adres, maar ik heb voor elke service zowat een alias gebruikt en ik ondervind inderdaad herzelfde. 3 aliassen van min staan in de breach waarvan er 1 al wel zeker 5 jaar oud is…
Reageer
Arjan90 @henkkeumus13 maart 2026 19:41
Maar wat is nu de échte toegevoegde waarde van een alias, behalve dat je die kan gebruiken om bijv. automatisch mails te verwijderen? Als ik het email adres voorbeeld+alias@domein.nl in een dataset zie, als kwaadwillende, dan kan ik natuurlijk gewoon voorbeeld@domein.nl gebruiken. Unieke e-mail adressen lijken mij alleen te werken als ze écht uniek zijn en dus niet herleidbaar naar je echte e-mail adres. Of mis ik iets?
Reageer
thunder7 @Arjan9013 maart 2026 20:15
Er is bijna altijd niet een menselijke kwaadwillende die die emailadressen bekijkt, maar een script. Dat is niet intelligent. Zo krijg ik nog steeds emails dat mijn creditcard verloopt, gericht aan vakgarage@mijndomein - die zijn wel heel gemakkelijk te onderscheiden.

Een mens snapt gelijk dat als vakgarage@mijndomein bestaat, je kunt proberen visa-spam aan visa@mijndomein te sturen. Maar dat doen ze (nog) niet.
Reageer
Arjan90 @thunder713 maart 2026 20:19
Ik ken de scripts persoonlijk niet, maar dit is waarschijnlijk een van de meest simpele aanpassingen die er is aan e-mail adressen. veel simpeler dan "gokken" welk e-mail adres je nog meer zou kunnen gebruiken op dat domein (immers, het script "weet" niet of het een generieke hoster a la outlook.com of een persoonlijk domein). Even zoeken of er een + in het adres voorkomt en zo ja het deel tussen + en @ weghalen. Dit los je met één regel code op met een simpele Regular Expression (Replace).
Reageer
Franckey @Arjan9013 maart 2026 21:04
Om die reden gebruik ik een speciale alias voor de plus adressen. Als ik mail daarop zou krijgen zonder plus, weet ik gelijk dat het niet klopt. Maar dat komt nooit voor. Blijkbaar nemen spammers die moeite niet.
Reageer
Lnaisd @Arjan9015 maart 2026 09:03
Op proton mail wat ik gebruik heb je ook de mogelijkheid om aliases aan te maken maar die zijn wel anoniem als je ze automatisch laat aanmaken dan heb je site.randomwoordRandom3cijfers@domein

Je krijgt wel een gelimiteerd aantal aliases op het gratis plan 5 geloof ik maar dat vind ik genoeg ik heb er eentje voor Discord en mijn Samsung account
Reageer
Franckey @henkkeumus13 maart 2026 21:00
Bij (gratis) Outlook en Gmail accounts werkt dit ook:

alias+voorbeeld@outlook.com

alias+voorbeeld@gmail.com
Reageer
Kalief @henkkeumus14 maart 2026 00:37
Niet alleen veel formulieren maar ook veel providers accepteren zo'n +comment niet en knippen dat er gewoon af.
Reageer
HandheldGaming @henkkeumus14 maart 2026 20:52
Daarmee verberg je weinig. Een simpele regex filter en je kan nog steeds alles makkelijk matchen.
Reageer
henkkeumus @HandheldGaming14 maart 2026 22:55
Dat klopt. Het “verhelpt” ook niet alles, maar met betrekking tot phising (achteraf) heeft dit natuurlijk wel nut.
Reageer
HandheldGaming @henkkeumus15 maart 2026 06:35
Maar daarom ben ik alle adressen aan het vervangen door passmail.net aliassen. Daar zit geen identificeerbare of persoonlijke informatie in. Dat plus unieke wachtwoorden en het wordt plots een stuk moeilijker om data te matchen. Nog steeds niet onmogelijk. Maar wel een stuk moeilijker.
Reageer
2TheMaks @HandheldGaming13 maart 2026 21:19
Ik ben er door het lek ook achtergekomen dat Odido alle E-mailadressen die ik ooit bij hun heb gebruikt in de dataset had. Ook E-mailadressen die ik al jaren niet meer bij ze gebruik, daardoor weet ik ook dat zij niks verwijderen.
Wat als de dataset ook logging van tot 15 jaar terug bevat? Als er dan een log-entry
[2014-02-17T14:26:42Z - Customer 'pietje.puk@home.nl' deleted]
voor komt in de logging dan komt het email-adres pietje.puk@home.nl dus voor in de data-set.

De check geeft aan dat een email-adres voor komt in de dataset, maar niet in welke context, en of er meer data gekoppeld is aan dat email-adres. Ofwel: Aannames: de wortel van al het kwaad...

[Reactie gewijzigd door 2TheMaks op 13 maart 2026 21:22]

Reageer
The Realone @2TheMaks13 maart 2026 22:28
Uh, logging dien je ook gewoon op te schonen als daar persoonsgegevens in zitten.
Reageer
HandheldGaming @2TheMaks15 maart 2026 06:41
Dat is nog steeds kwalijk. Waarom houden zij de logs bij voor zo lang? Wat moet je daarmee?

Je moet als bedrijf geen data bewaren waar je niets mee doet.

Ik weet wel waarom Odido die informatie behoud. Zij hopen net als mijn vader met zijn rommelkast. Dat ze het nog ooit ergens voor kunnen gebruiken (lees: verkopen).

En dat moet je als bedrijf, één niet willen en twee mag het niet.

Maar Odido verkoopt onze data ook doodleuk aan Amerikaanse AI-bedrijven. Iets dat ongetwijfeld diep in de gebruiksovereenkomst staat benoemd dat ze dit mogen. Maar ze verstoppen het zo diep omdat zij ook weten dat dit ongewenst gedrag is.

Op dit moment ben ik sterk aan het overwegen om mijn laatste contract bij Odido af te kopen zodat ik bij deze onbetrouwbare club weg ben.

Ik los in de tussentijd voor mezelf zo veel mogelijk van hun rommel wel op.
Reageer
Vuurvleugelhart @HandheldGaming13 maart 2026 21:56
'maar ook al mijn E-mailadressen' doe ik alweer een geruime tijd, kan het iedereen aanbevelen.
SimpleLogin is fantastisch, ook in combinatie met een eigen domein (hoef je niet eerst een mailadres aan te maken).
De mailbox blijft zo lekker rustig. Je kunt op een mail-alias ook enkel specifieke mailadressen blokkeren, vermindert de spam en uitnodiging voor enquêtes aanzienlijk.
Reageer
HandheldGaming @Vuurvleugelhart15 maart 2026 06:43
Ik gebruik al een tijd Proton Pass. Daar zit best goede alias management in.
Reageer
royvosch @rko4u13 maart 2026 21:07
rtl berichte dit destijds ook al, maar herhalen graag dingen

wat gisteren bij EditieNl kwam komt de volgende dag weer bij rtl nieuws en andersom
Reageer
The Zep Man
13 maart 2026 18:58
De provider zegt tegen RTL daarbij ook naar dataretentie te kijken.
Ik ben benieuwd waarom ze daar niet eerder naar keken. De AVG is niet nieuw.

[Reactie gewijzigd door The Zep Man op 13 maart 2026 22:11]

Reageer
Luchtbakker @The Zep Man13 maart 2026 19:05
Bij een audit kijken ze doorgaans niet in de productieomgeving om steekproeven uit te voeren. Daarom slaan naar mijn idee die audits nergens op.

Alleen goed ingerichte (cyber) security afdelingen die zich ook bezig houd met dit soort procedures en of ze nageleefd worden.
Reageer
Alamoos @Luchtbakker13 maart 2026 19:46
Ik werk voor een bedrijf wat vaak als data verwerker fungeert en ik stoor me ook mateloos aan auditors.

Zolang je op papier alles op orde hebt wordt the bare minimum gevraagd kwa bewijs dat deze processen ook bestaan en belangrijker of deze ook worden gecontroleerd. Een screenshot of 3 log regels die werkelijk niks zeggen worden al goedgekeurd. Ik had de hoop dat met NIS2 top down wat meer vereist zou worden maar dit lijkt wederom een papieren tijger met een kunstgebit te worden.
Reageer
Jerie
@Alamoos13 maart 2026 21:37
Dus als ik iedere minuut mijn emailadres verander bij Odido zorg ik voor 1440 entries per dag in de DB. Dat tikt dan lekker aan op een jaar tijd.

Audits zijn BS omdat ze ervan uitgaan dat degene die geaudit wordt te goeder trouw handelt. Het is ook echt het minimale van het minimale vinkjes zetten. Het is niet zo: ISO 27001 dus het zit goed, het zit zo: geen ISO 27001 niet eens je best gedaan (evt. om de boel om de tuin te lijden [sic]).

Auditors is ook een typisch voorbeeld van een bullshit job, zie: Wikipedia: Bullshit Jobs dat het loon in die sector gigantisch is, is ook onderdeel van de zwendel. Ja, zwendel. Er zijn zoveel voorbeelden van stelselmatig falen van de grote vier dat het niet grappig is.
Reageer
Jeroen28 @Jerie14 maart 2026 20:37
Duct tapers, who temporarily fix problems that could be fixed permanently, e.g., programmers repairing shoddy code, airline desk staff who calm passengers with lost luggage;

dus een programmeur is ook een Bullshit Job? er staat duidelijk als hij shoddy code. maar wie zegt dat het de zelfde programmeur is? mogelijk is het wel iemand die in dienst is van een bedrijf die een ander software programma in huis heeft gehaald maar er moet een snelle fix komen, anders draait de productie niet door.

of te wel zijn dan alle programmeurs die bij bedrijven werken nu Bullshit Jobs?
Reageer
Woefdramcx 13 maart 2026 18:59
Ik ken meer dan genoeg verhalen van mensen die al jaren niet meer bij Odido zaten, maar toch een mailtje kregen. Dan hoef je niet heel intensief meer te zoeken natuurlijk, het is dan glashelder dat -wederom- de belofte om data weg te gooien na de wettelijke termijn niet is nageleefd.

Daar zouden straffen op moeten staan. Serieuze straffen, waardoor bedrijven wel 3 keer nadenken voor ze gemakzuchtig omspringen met gevoelige data van heel veel mensen.
Reageer
Somoghi @Woefdramcx13 maart 2026 20:09
Die eindverantwoordelijkheid moet eens met een vrijheidsstraf beloond worden. En dan bedoel ik niet direct een vrijheidsberoving, maar de vrijheid van keuze van dagbesteding bevoordeeld. Een goed begin zou zijn dat de verantwoordelijke(n) echt alle getroffen klanten en oud klanten persoonlijk bellen.
Reageer
Khrome @Somoghi13 maart 2026 20:57
Dit inderdaad. Iemand heeft de bewuste keuze gemaakt om dataretentie te negeren, waarschijnlijk om "budgetaire redenen". En meerdere mensen hebben daarna bewust de AVG genegeerd.

Gewoon persoonlijk de eindverantwoordelijken strafbaar stellen. Directeurs en hoge managers krijgen flink betaald om verantwoordelijkheid te nemen, laat ze dat ook eens doen!
Reageer
Pasteis 13 maart 2026 19:04
Hoe zit het met de bewaarplicht van 7 jaar voor facturen? Waar ook Odido aan moet houden. De factuur moet aan een persoon of bedrijf met een adres gericht zijn. Archiveren ze deze facturen met een kopie PDF zodat de businesspartner verwijdert kan worden?

Of zit daar nog bepaalde onderscheid in dat deze data in het CRM of ERP staat?

Ik kon online niet het antwoord terugvinden?

[Reactie gewijzigd door Pasteis op 13 maart 2026 19:04]

Reageer
wiseger @Pasteis13 maart 2026 21:28
Gegevens die je in retentie bewaart, hoef je niet online te bewaren. Dat kan prima in een offline archief.
Reageer
jongetje
@wiseger14 maart 2026 07:25
Maar dat offline archief moet je alsnog tegen je retentie regels houden en elke week/ maand schonen.

Maar ik maak me geen illusies dat andere (telecom) bedrijven het beter hebben geregeld.

[Reactie gewijzigd door jongetje op 14 maart 2026 07:25]

Reageer
Pasteis @wiseger14 maart 2026 07:59
Gegevens die je in retentie bewaart, hoef je niet online te bewaren. Dat kan prima in een offline archief.
En jij denkt dat Odido een fysiek archief voor heeft? Als ze enigszins aan deze eis voldoen denk ik dat ze het gewoon cold storage op een archiefserver hebben staan waar ze het op archiveren, maar ik geloof haast niet dat ze dan je stamdata uit hun ERP verwijderen.
Reageer
wiseger @Pasteis14 maart 2026 13:35
Ik weet niet wat je met fysiek bedoelt. Een archief systeem hoeft niet continue online en benaderbaar te zijn. Af en toe een nieuwe data upload en eventuele schoning acties en hij kan weer offline. De data 'in rest' zal gewoon versleuteld zijn zoals tegenwoordig wel standaard is.

Stamdata dien je uiteraard na archivering gewoon uit alle andere systemen te verwijderen. Anders heeft archivering ook weinig nut.

Dat maakt je als organisatie al veel minder kwetsbaar voor hackers.
Reageer
mhnl1979 @Pasteis13 maart 2026 19:07
Ik kan mij voorstellen dat een adres andere koek is dan BSN en idbewijzen met bijbehorende data
Reageer
jepper333 13 maart 2026 20:18
16 jaar geleden 1x in mijn leven 2 jaar klant geweest bij T-Mobile en ik sta ook in de dataset. Gaat echt helemaal nergens over...
Reageer
denneke1280 @jepper33313 maart 2026 20:35
Idem hier. 15 jaar geleden klant. Toen nog t-mobile. Moge de AP een boete geven van miljoenen.
Reageer
adje123 13 maart 2026 18:57
Wel fijn dat je ze email adres bewaard hebben, zo hebben ze je kunnen informeren over het lekken van je gegevens 🤮
Reageer

Om te kunnen reageren moet je ingelogd zijn