RTL-onderzoek bevestigt vermoedens: Odido bewaarde data langer dan beloofd

Wat veel oud-klanten van Odido vermoedden, blijkt te kloppen: de provider bewaarde hun gegevens langer dan de twee jaar die het beloofde, ontdekte RTL Nieuws. Dat vond in de dataset de gegevens van zeker 44.000 personen die meer dan twee jaar geleden hun abonnement opzegden.

RTL Nieuws vond in de dataset van gelekte Odido-gegevens data van klanten die soms al vijf jaar geen klant meer waren bij de provider. RTL sprak met meerdere van zulke slachtoffers, die vaak niet wisten dat hun gegevens gestolen waren.

Volgens RTL gaat het om zeker 44.000 klanten die in de dataset als 'inactief' stonden, maar waarvan de opzegging of laatste wijziging meer dan twee jaar ervoor plaatsvond. Dat deed de site omdat Odido zelf in zijn privacybeleid verklaart klantgegevens maximaal twee jaar te bewaren nadat klanten opzegden. RTL deed daarnaast een steekproef om te controleren of die data correct waren.

RTL bevestigt met de bevindingen een vermoeden van veel klanten. Veel slachtoffers, waaronder ook tweakers, merkten al op dat ze in februari een e-mail van Odido hadden gekregen waarin stond dat ze mogelijk slachtoffer waren. Ook gingen veel oud-klanten zelf op zoek in de inmiddels vrijgegeven dataset, of ze gebruikten daarvoor een van de tientallen tools die dat doorzoeken mogelijk maken.

Uit die onderzoeken kwam al vaak naar voren dat gegevens bleken te zijn gestolen die al heel oud waren. Een woordvoerder van Odido zegt tegen RTL dat het nog onderzoek doet naar de omvang van de hack en dat het 'tijd kost dat zorgvuldig af te ronden'. De provider zegt tegen RTL daarbij ook naar dataretentie te kijken.

Odido gegevens download

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-03-2026 18:53
112 • submitter: Meg

13-03-2026 • 18:53

Submitter: Meg

Lees meer

Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt

Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt Nieuws van 13 maart 2026

Bunq lijkt Odido-slachtoffers gericht te benaderen met antifraudemails

Bunq lijkt Odido-slachtoffers gericht te benaderen met antifraudemails Nieuws van 5 maart 2026

RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek

RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek Nieuws van 3 maart 2026

Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update

Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update Nieuws van 3 maart 2026

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026

Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen

Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen Nieuws van 27 februari 2026

Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe

Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026

Meer producten en artikelen

Beveiliging en antivirus Datalek Odido

Reacties (112)

112

112

66

14

0

41

Wijzig sortering

S.McDuck 13 maart 2026 19:13

Wordt echt is tijd voor een stevige massaclaim door consumenten.

Ik moet overal beveiliging inbouwen, alert zijn en maatregelen treffen om gegevens niet kwijt te raken of te laten misbruiken. Doe ik dat wel is het mijn eigen schuld.De bedrijven gooien mijn prive data op straat en als consument sta ik machteloos. Ik kan mijn BSN niet veranderen, moet geld uitgeven om te zorgen dat deze 'ongemakkelijkheden' niet misbruikt worden. En ook alle andere zaken die mogelijk zijn met deze gegevens, en maar even te veranderen om niet opgelicht te worden of mogelijk zonder het te weten bestellingen te doen. Of erger nog mijn identiteit kwijt te raken.

Grappig als er straks weer 5 miljoen naar de AP gaat, maar ik zit met de rotzooi van een bedrijf die het niet zo nauw neemt met de (wettelijke) verantwoordelheden.

[Reactie gewijzigd door S.McDuck op 13 maart 2026 19:14]

padoempats @S.McDuck • 13 maart 2026 19:32

Wat kan iemand met je bsn? Gewoon benieuwd hoe erg het is dat iemand je bsn kent.

uiteindelijk moeten we toe naar een situatie dat persoonsgegevens niets waard zijn. Dat je met alleen gegevens niet je ergens voor iets kan aanmelden waar financieel iets van afhankelijk is. AlS we daar zijn is een bsn niets anders dan een getal/id wat voor een ander waardeloos is

S.McDuck @padoempats • 13 maart 2026 20:17

Alleen mijn BSN misschien niet heel veel, maar de complete set die Odido heeft gelekt heel veel. En het BSN is een bijzonder beschermd persoonsgegeven identificatie die voor het leven wordt uitgegeven. Bij alle overheid instanties is dit mijn 'token'. Die nu dus naast vertrouwde instanties is 'gedeeld' met...

Door de complete set die bij Odido is vrijgekomen kan er nu dus: Bestellingen doen, contracten sluiten, postbus aanvragen of abonnementen aanvragen om maar een paar zaken te noemen. Maar ook social engineering uit mijn naam om maar een paar voorbeelden te noemen. Ze hebben tenslotte gegevens die ik alleen hoor te hebben, Vandaar de hoge inbreuk op mijn privacy en de mogelijkheid om mijn identiteit te misbruiken. Door de set die Odido heeft gelekt zijn alle gegevens die je nodig hebt voor alle vormen van fraude in handen gekomen van mensen die dit niet horen te hebben.

beeldbuijs @S.McDuck • 13 maart 2026 22:08

Je kunt je ook afvragen hoe wenselijk en realistisch het is dat je een contract kunt afsluiten met alleen die gegevens.

Deze week heb ik een nieuw mobiel internet-contractje afgesloten. De nieuwe sim-kaart werd aan huis gebracht, waar middels een pin-betaling werd gecontroleerd of ik inderdaad de rekeninghouder ben. Daarnaast moest ik een geldig ID laten zien.

Niet dat het hacken ook maar 1% goed te praten is, maar we gaan niet goed met dat probleem om. Gegevens lekken nou eenmaal regelmatig uit. Dat je op afbetaling kunt kopen met minder controle is eerder het probleem dan het uitgelekte bsn.

Argantonis @beeldbuijs • 14 maart 2026 04:08

Dit is het belangrijkste. Een BSN mág gewoon niet zo belangrijk zijn. Het is maar een identifier, het betekent verder niks in deze tijd van digitalisering waarin die identifier op allerlei manieren kan lekken. Hier in Indonesië moeten ze gewoon een kopie van mijn paspoort maken bij het inchecken in een hotel. En dat geldt voor vele landen in Azië. Het is bizar om aan te nemen dat een BSN geheim gehouden kan worden ondanks dat je je paspoort aan allerlei instanties moet tonen, en ja ook in Nederland. Iemand met een goed geheugen kan ook in landen waar een kopie maken niet gebruikelijk is dat nummer wel onthouden.

daanb14 @S.McDuck • 13 maart 2026 21:06

Dit is een van de redenen, waarom het heel erg hoog tijd wordt dat er bij de overheid een manier komt om een nieuw BSN aan te vragen voor reguliere burgers. Het is nu niet de vraag of iemands BSN uitgelekt gaat worden, maar wie hem uit gaat lekken. Gaat het een hotel of camping zijn die zijn oude scans zonder KopieID niet veilig opsloeg? Gaat het Odido zijn? De belastingdienst die het BTW-nummer herleidbaar maakte uit het BSN? Kortom, helaas zijn er genoeg plekken die hem uit zouden kunnen lekken en daarom is het wat mij betreft des te meer onbegrijpelijk dat we nog steeds niet bezig zijn om dit voor elkaar te krijgen.

bytemaster460 @daanb14 • 13 maart 2026 23:33

Het BSN is juist een manier om op een unieke manier gegevens te koppelen door (semi)overheidsorganisaties. Nieuwe BSNs halen dat hele principe onderuit. Men kan beter ervoor zorgen dat een BSN op zich geen mogelijkheden tot ID fraude biedt. Daar heeft men al heel veel stappen in gemaakt.

daanb14 @bytemaster460 • 13 maart 2026 23:37

Een BSN is uiteindelijk gekoppeld aan een natuurlijk persoon die zich fysiek zou moeten melden bij een overheidsinstantie om het nummer te wijzigen. In dat geval zie ik ook niet, waarom een nieuw BSN krijgen onmogelijk zou zijn. Het is nog steeds een uniek nummer gekoppeld aan jou als persoon, maar je hebt er in dat geval eentje die vanaf een bepaalde datum geldig is en de ander die vanaf dan niet meer geldt.

bytemaster460 @daanb14 • 13 maart 2026 23:41

Gegevens worden tussen instanties gekoppeld op basis van BSN daarom is ervoor gekozen dat iemand in zijn leven maar één BSN kan krijgen anders krijg je weer allerlei administraties met alternatieve BSNs bij een persoon. Één persoon heeft één nummer en kan als zodanig overal bij de overheid en in de zorg en bij financiële instellingen uniek geïdentificeerd worden.

Yankovic @bytemaster460 • 14 maart 2026 00:53

Er zou dus eigenlijk een intern (afgeschermd) BSN moeten zijn voor alle datakoppelingen en techniek. En een 'publieke' BSN voor communicatie tussen burger en overheid.

Net zoals creditcards en bankpassen moet ik die publieke BSN kunnen blokkeren waarna een nieuwe uitgegeven kan worden (die vervolgens gekoppeld wordt aan die interne/technische BSN). Zodoende hoeft dat principe helemaal niet onderuit gehaald te worden.

TechSupreme @daanb14 • 14 maart 2026 00:53

Hoezo geef jij jouw BSN aan bedrijven?

amigob2 @TechSupreme • 14 maart 2026 08:27

open maar eens een bank rekening . zonder bsn niet mogelijk

2TheMaks @S.McDuck • 13 maart 2026 21:07

Ze hebben tenslotte gegevens die ik alleen hoor te hebben

Waarom geef je Odido (of wie dan ook) gegevens die je privé dient te houden, zoals bijvoorbeeld je BSN?

Een bedrijf dat zegt een kopie van je identiteitsbewijs (incl. BSN) nodig te hebben? Ogenblikkelijk je middelvinger naar opsteken, nooit meer zaken mee doen, en anderen (inclusief AP) voor waarschuwen.

Xalephsis @2TheMaks • 13 maart 2026 21:31

Jij hebt nog nooit een huis gekocht? Of een telefoon abbonement afgesloten? Of een bankrekening geopend? Ik weet niet onder welke steen jij leeft, maar je hebt echt op zo veel plekken je ID nodig..

_Dune_ Moderator OeB

@Xalephsis • 13 maart 2026 21:53

En toch zijn er maar enkele instanties welke jouw ID/paspoort een copy van mogen bezitten. Dat zijn financiele instellingen en jouw werkgever. Daarnaast ambtenaren in functie, mogen vragen een ID/paspoort te overhandigen. Verder mag iemand vragen een ID/paspoort te tonen, maar deze heeft jouw hand niet te verlaten, zeker niet om een copy te maken.

xoniq @_Dune_ • 13 maart 2026 22:39

Een abonnement afsluiting = financiële instelling i.v.m. het verstrekken van een lening en die hebben ook gewoon je BSN nodig lijkt me.

maar deze heeft jouw hand niet te verlaten, zeker niet om een copy te maken

Dan kan je op vakantie bijna op straat slapen, aangezien je amper een hotel kunt inchecken zonder ID, als je überhaubt al vervoer naar het land van bestemming een optie is.

bytemaster460 @xoniq • 13 maart 2026 23:29

Voor het afsluiten van een telefoonabonnement is er geen BSN nodig. Die had Odido dan ook niet, behalve van zakelijke klanten omdat voor hen het BSN hetzelfde is als het BTW nummer van de Kamer van Koophandel.

TechSupreme @bytemaster460 • 14 maart 2026 01:07

Juist en ook daaruit blijkt dat de gegevens ouder zijn als 2 jaar. BSN als BTW nr. wordt al een tijdje niet gebruikt, ipv geeft de belastingdienst een BTW ID.

https://ondernemersplein....controleren-en-vermelden/

Als de gegevens tot 2 jaar gingen dan zou het exclusief BTW ID's zijn en geen BSN. Met de wetswijziging die nodig was voor de BTW ID is er ook een wijziging ingevoerd waarmee het strikt verboden wordt om een BSN nog in je administratie te hebben.

Ik vraag me af wat justitie hiervan gaat vinden.

Gropah @bytemaster460 • 14 maart 2026 09:19

Voor het abonnement zelf afsluiten is inderdaad geen bsn nodig. Maar veel mensen nemen om een telefoon bij hun abo, waarbij ze elke maand wat extra betalen. Dat word gezien als lening en is een financieel product (daarom word het bij meer dan 250 euro ook bij bkr geregistreerd). Daarom hebben providers vaak wel BSNs van hun klanten.

mphilipp @_Dune_ • 14 maart 2026 01:37

Ik wil dat ter discussie stellen. Waarom moet dat ID worden opgeslagen? Tonen zou voldoende moeten zijn. Check het ID en zet een vinkje in het systeem dat het ID is geverifiëerd. Wat moeten ze met de kopie? Wat moeten ze met het nummer van het ID? Allemaal uit gewoonte, geen hond kijkt er ooit nog naar.

kwakzalver @2TheMaks • 13 maart 2026 22:39

Een complete set gegevens kan op diverse manure misprint worden. Zeker omdat dit nu in het criminele circuit beland is, is voorzichtigheid geboden. het is niet de vraag of de gegevens misbruikt worden maar de vraag wiens gegevens misbruikt worden.

Mijn advies (bij minder alerte personen) is nieuw paspoort aanvragen, oude als persoonsgegevens via Odido gestolen aangeven. En bij de bank een verhuizing naar een nieuw rekeningnummer doorzetten (middels verhuisservice).

Het is een poespas. Maar voorkomen is beter dan het slachtoffer worden.

bytemaster460 @kwakzalver • 13 maart 2026 23:31

Het documentnummer van een paspoort is niet vertrouwelijk. Hotels mogen dat ook registreren voor voor de toeristenadministratie t.b.v. de lokale autoriteiten. Het lekken van dat nummer is geen reden voor een nieuw paspoort.

Daoka @2TheMaks • 14 maart 2026 06:11

@TechSupreme
De AVG is natuurlijk maar een aantal jaar oud. Ik heb mijn internet al langer dan dat de AVG er is. Daarnaast was het natuurlijk ook gewoon een andere tijd. Men was niet zo bezig met privacy, bedrijven waren veel minder van de data zoals nu en lekken werden meestal niet gemeld dus het leek toen ieder geval minder als een probleem.

TechSupreme @Daoka • 14 maart 2026 06:15

De overheid heeft altijd heel duidelijk gezegd dat je je BSN voor je moet houden en dat er maar een handjevol toepassingen voor is. Gebruik van een BSN is per wet geregeld; dat is niet van vandaag of morgen.

[Reactie gewijzigd door TechSupreme op 14 maart 2026 06:18]

nielsnederveen @S.McDuck • 13 maart 2026 22:33

Helemaal mee eens. Datalekken zijn helaas een gegeven. We moeten naar een systeem waar je niet met een setje statische gegevens van alles en nog wat kan aanvragen. Nu werkt de EU aan een digitaal id wat hier verandering in zou kunnen brengen. Hoop echter niet dat de remedie erger wordt dan de kwaal.

mphilipp @S.McDuck • 14 maart 2026 01:30

BSN heeft niemand iets aan, want het betekent alleen iets voor de overheid. Dus het lijkt mij heel erg sterk dat je met een BSN van iemand iets kunt.
En als je iets wilt afsluiten zoals een bankrekening, moet je gewoon een ID hebben, en haal vaak ook nog een recent bankafschift. Alleen de gegevens is niet genoeg, Nog nooit meegemaakt dat men zegt 'je rijbewijsnummer is voldoende' want daar heeft geen hond wat aan. Ze moeten dat object zien, je rijbewijs, id of paspoort.

Wel is het zo dat de gegevens vaak als controlevragen worden gesteld. Dus als ik die dingen van jou weet, kan ik bv telefonisch jouw Odido abonnement veranderen of opzeggen, of je account laten resetten, zodat ik erin kan. Zou een leuke testcase zijn om te zien hoe ver je bij een bank komt, maar in het geval van ING bijvoorbeeld, heb je toch ook weer een fysieke ID nodig om de bankapp te activeren. Dus hoe je dat zou moeten aanpakken weet ik zo snel niet. Misschien zijn die criminelen slimmer

Neemt niet weg dat het een zeer kwalijke zaak is wat er gebeurd is. Het maakt eigenlijk helemaal niet uit wat iemand wel of niet met die gegevens kan, het feit dat ze open en bloot op het netwerk stonden (ja, in de applicatie, maar voor iedere medewerker toegankelijk), slecht beschermd (gestolen credentials en een lulverhaal was voldoende) en te lang bewaard is bespottelijk. Het feit ook nog eens dat men gegevens heeft opgeslagen en bewaard die ze naar mijn idee helemaal niet nodig hebben voor de uitvoering van hun taak. Dat je die gegevens moet tonen is ok, maar zet dan alleen een vinkje in het systeem 'id gecontroleerd'. Je hoeft echt geen paspoortnummers en bsn's op te slaan. Odido heeft alleen mijn naw en misschien geboortedatum nodig, hoewel ook dat laatste discutabel is. Het maakt voor hen geen fluit uit of ik 19 of 59 ben. Ze moeten een dienst leveren. Klaar. Maak een einde aan het zinloos verzamelen van data. Dat maakt je ook nog eens minder kwetsbaar voor diefstal van die data.

En ze moeten de boel beter beveiligen. Bijvoorbeeld door af te dwingen dat iedere medewerker met een compliant device werkt. Dus een die gekoppeld is aan hun account, up to date en gescand is op malware e.d. En dan ook nog eens op het netwerk aangesloten is via een bedrijfs-VPN. Op die manier maak je het erg moeilijk voor hackers om binnen te dringen. Alleen aan credentials en een overgenomen 2FA heb je dan ook niets meer aan.

VHware @mphilipp • 14 maart 2026 05:25

Nee helemaal niet bedrijfs-VPN, maar een ZTNA (Zero Trust Network Access) oplossing. Met ZTNA heb je alleen toegang tot interne applicaties en daarmee specifiek ook alleen die netwerkverbindingen waar je tot geautoriseerd bent als gebruiker en niet het hele netwerk zoals VPN. Ook nog eens alleen jouw usercontext, de systemcontext heeft de toegang niet. Ook krijg je geen toegang als je device niet voldoet aan compliance-eisen.

Voorbeelden van ZTNA oplossingen zijn zScaler en Microsoft Global Secure Access

themrmes @S.McDuck • 14 maart 2026 07:27

Het BSN is een gevoelig gegeven, maar geen bijzonder persoonsgegeven.
bron AP voorwaarden BSN gebruik

Triblade_8472 @padoempats • 13 maart 2026 19:40

Koop/lees het boek "komt een vrouw bij de h@cker". Daarin staan voorbeelden/waargebeurde verhalen. Niet tof. Ergste geval is een man die zeer regelmatig, jarenlang, door de politie uit z'n bed gelicht wordt omdat z'n bsn misbruikt is door een zware crimineel en de politie deze niet uit hun systeem krijgt. Meerdere banen er al door kwijtgeraakt en z'n huis overhoop gehaald en spullen in beslag genomen.

The Realone @Triblade_8472 • 13 maart 2026 20:06

Dan moet men misschien zich eens drukker gaan maken over het feit dat de politie die "niet uit het systeem krijgt", want dat is de echte oorzaak van dat probleem.

Xalephsis @The Realone • 13 maart 2026 21:35

Nee, de echte oorzaak is dat je nummer niet gedeeld had mogen worden. En bij een uitbraak je een nieuwe nummer moet kunnen krijgen en je oude nummer komt te vervallen met een datum van sluiting. De overheid weet als het goed is wel welke documenten met dit nummer zijn uitgegeven en kan deze dan opnieuw aan gaan maken, de kosten mag je verhalen op de instantie die verantwoordelijk is geweest voor de uitbraak.

Tot jij nieuwe documenten hebt kun je je oude documenten wel blijven gebruiken, maar bij het controleren van het document komt dan duidelijk in beeld dat het oorspronkelijke nummer op het document vervallen is en er waarschijnlijk extra controles nodig zijn om te valideren dat de persoon die je aan het controleren bent, ook daadwerklijk die persoon is.

beeldbuijs @Xalephsis • 13 maart 2026 21:55

Het bsn is nooit bedoeld als beveiliging en werd of wordt daar ook niet voor gebruikt. Het is puur om personen uit elkaar te houden in de administraties vs de overheid.

Je hoeft niet eens Nederlander te zijn om een bsn aan te kunnen vragen en te krijgen.

Het heeft dan ook weinig zin om burgers een nieuw bsn te geven als het bestaande bsn openbaar is geworden. De overheid doet dat daarom ook niet.

The Realone @Xalephsis • 13 maart 2026 22:25

Het is een BSN nummer, geen pincode. Niet iets wat anderen per se hoeven weten, maar ook echt geen zwaarbeveiligd geheim, het staat ook gewoon open op je ID kaart geprint.

Van BSN nummer veranderen lijkt me voor iedereen een regelrechte nachtmerrie. Bedrijven zoals Odido aanpakken lijkt me een veel betere oplossing, in alle opzichten.

MsOnalicious @padoempats • 14 maart 2026 07:47

In België was er een tijdje terug ook een grote hack van persoonsgegevens bij Orange. Met de persoonsgegevens die daaruit geheeld werden, kunnen perfect datasets gemaakt worden van bvb. alle klanten ouder dan 65 jaar. Daar kunnen vervolgens phishing bendes mee aan de slag om hun scams te proberen.

Aangezien er in de dataset van Odido ook opmerkingen bij klantendossiers staan als “juist gescheiden, zeg niets over de partner” etc. betekent dat zo’n bendes zelfs nog minder moeite moeten doen om kwetsbare slachtoffers te selecteren.

Iedere aspect van jouw identiteit en persoonsgegevens is nu eenmaal een potentiële aanvalsvector die tegen je gebruikt kan worden.

padoempats @MsOnalicious • 14 maart 2026 09:06

Ik had het ook specifiek over BSN, wat een nummer is. Als je die nergens kan gebruiken voor registratie of authenticatie, zou het nummer waardeloos moeten kunnen zijn. Althans, dat moeten we dan wel afdwingen dat derde partijen een bsn niet daarvoor gebruikt

Harmakhet @padoempats • 14 maart 2026 09:25

Het lijkt me dat een BSN eerder 'andersom' gebruikt wordt. Voor social engineering. Een hacker benadert een slachtoffer als bijvoorbeeld overheidsinstelling waarbij hij gebruikt maakt van het BSN om vertrouwen te winnen.

Triblade_8472 @S.McDuck • 13 maart 2026 19:43

Waar ik nog vurige op hoop is direct een inval controle bij alle instanties die jouw bsm/ID kopie mogen hebben. En dan niet steekproefsgewijs, maar een serieuze doorlichting.

We weten ondertussen allemaal wel dat een ISO en ISAE certificeringen een wassen neus zijn. Als je ze al niet tegen betaling zomaar krijgt, dan stellen de checks ècht niks voor.

Niks steekproef controle, nee, een 100% check. Allemaal. Desnoods met standaard software op de meestgebruikte databases, zoals Salesforce.

2TheMaks @Triblade_8472 • 13 maart 2026 21:29

Voor zover ik weet mag een instantie alleen het BSN van personen vragen of in hun administratie opnemen wanneer:

het een overheidsinstantie is
het een erkende zorgverlener is
het een loonadministratie van werknemers betreft
voor een administratie in het onderwijs

andries98 @2TheMaks • 13 maart 2026 23:14

Volgens mij vergeet je financiele instellingen. Dus alles waarbij je een lening kunt afsluiten.

Triblade_8472 @2TheMaks • 13 maart 2026 23:54

En een telefoonabonnement afsluit.

wooha @Triblade_8472 • 14 maart 2026 01:03

Niet volgens de Autoriteit Persoonsgegevens :

Abonnement mobiele telefoon aanvragen

Vraagt u een abonnement voor een mobiele telefoon aan? Dan mag de telecomaanbieder een kopie maken van uw identiteitsbewijs, zoals uw paspoort of identiteitskaart. Hierbij moeten in ieder geval uw burgerservicenummer (BSN) en uw pasfoto zijn afgeschermd.

Een (afgeschermde) kopie van het identiteitsbewijs is bedoeld om achteraf te kunnen bewijzen wie het telefoonabonnement heeft afgesloten en om identiteitsfraude tegen te gaan.

(Vet en cursief markering toegevoegd.)

Odido schreef ook dat ze geen BSN mogen verwerken. Oude BTW-nummers met ingebedde BSN van ZZP'ers zijn een uitzondering. Informatie over BSN nummers lijkt inmiddels verdwenen van hun pagina, misschien vanwege die uitzondering.

Bij een lening voor aankoop van een telefoon zal het vast weer anders zijn.

[Reactie gewijzigd door wooha op 14 maart 2026 01:15]

Sando @S.McDuck • 13 maart 2026 19:30

Eens. Het is al moeilijk genoeg dat je niemand kunt vertrouwen met je data omdat iedereen vroeger of later een datalek heeft. Maar nu gaan bedrijven ook nog liegen en permanent je data bewaren zodat je gegevens altijd op straat liggen ook al ben je al jaren weg?

Als er geen consequenties zijn, dan gaat er niks veranderen.

Lisadr @S.McDuck • 13 maart 2026 20:07

Grappig als er straks weer 5 miljoen naar de AP gaat, maar ik zit met de rotzooi van een bedrijf die het niet zo nauw neemt met de (wettelijke) verantwoordelheden.

Geld gaat niet naar AP, maar naar de staat. Hopelijk geen 5 miljoen, maar een maximale boete van 4% omzet (ongeveer 95 miljoen euro).

loewie1984 @S.McDuck • 13 maart 2026 22:50

Ik ben het volledig met je eens. Als je dit leest vind ik Odido echt zelfzuchtig geweest.
Ja met criminelen onderhandel je niet en het wordt afgeraden om te betalen. Maar in dit (https://www.nrc.nl/nieuws...inkedin&utm_term=20260313) artikel valt te lezen dat ShinyHunters het bedrag wilde verlagen naar 0.5 miljoen.

Wat mag het kosten om de gegevens van miljoenen Nederlanders niet op straat te laten belanden.
Ongeveer 8 cent per Nederlander uiteindelijk. En nu lopen wij allemaal het risico dat we gehacked worden, identiteitsfraude, of gephished worden.

Odido

@S.McDuck • 14 maart 2026 07:19

Waarom roept men elke keer dat het BSN is gelekt, dit is helemaal niet te geval. Stop daarmee want geeft alleen maar enorme verwarring en schiet niemand iets mee op.

@S.McDuck • 14 maart 2026 08:20

'gooien mijn prive data op straat' is natuurlijk niet hoe het is. Ze zijn gehacked en dus slachtoffer van een setje criminelen. Dat negatieve overdrijven is wel een trend op (onder andere) tweakers de laatste jaren.

Nairu777 13 maart 2026 22:28

Oké, maar daarbij even een andere vraag: mijn data ligt bij Odido, Shinyhunters, de politie, have I been pwned, RTL en NOS. Zijn er nog meer partijen die willen meekijken?

Ik snap best dat vanuit het principe van heling ik de data niet mag downloaden, maar ik vind het zeer vreemd dat vanuit blind vertrouwen, wat ik overig niet heb uitgesproken naar een aantal van die partijen, mijn gegevens wel door hen allemaal verwerkt mag worden. Wie zegt dat die medewerkers van NOS of RTL goed met je data omgaan? Dan vind ik het onrechtvaardig dat zij wel bij die data kunnen en zodra ik het probeer riskeer ik een gevangenisstraf en een geldboete. En ik heb de wetten gelezen, maar nog is het van de zotte dat om verder uitlekken te voorkomen de data niet "zomaar" gedownload mag worden. Ik ben van mening dat de media hierin ook moet worden teruggefloten. Wat is hun verdere bijdrage dan naast de officiële instanties?

Koekoeksklok 13 maart 2026 22:52

RTL mag wel de data downloaden en bekijken, maar een burger mag het niet?

rene_fb @Koekoeksklok • 14 maart 2026 09:16

review: Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor...

Er is een uitzondering voor publicatie in het algemeen belang, waarmee de pers wordt beschermd.

slaay 13 maart 2026 19:49

Maar hoe zit dat dan met dit stuk uit het privacystatement van Odido:

"Als je een toestelkredietovereenkomst hoger dan € 250 bij ons wilt aangaan, dien je een inkomens- en lastentoets in te vullen en dienen we je toestelkrediet te registeren bij het BKR. We bewaren de gegevens over het toestelkrediet tot maximaal 5 jaar nadat het toestelkrediet is afgelost."

Dan is het toch logisch dat er ook gegevens in de dataset staan tot 5 jaar oud? RTL lijkt zich nu puur op die twee jaar te focussen, terwijl het ook toegestaan is volgens het privacystatement om ze tot 5 jaar te bewaren indien je een toestel kredietovereenkomst bent aangegaan.

wiseger @slaay • 13 maart 2026 21:38

Odido bewaarde de gegevens in het klantenservice systeem waarbij alle klantenservice medewerkers er toegang tot hadden.

Er is niets mis met het bewaren van gegevens in retentie maar dat doe je niet in algemeen toegankelijke systemen met notabene een interface naar Internet. Retentie data zet je in een archief systeem waar ze stukken veiliger staan en niet het halve bedrijf toegang tot die data heeft. En wil je het heel mooi doen, dan zet je de data daarin offline. Dus heb je de data dan jaren later nodig voor de fiscus, dan laad je die data in.

Azenomei @slaay • 13 maart 2026 20:26

Volgens mij moet je ook gewoon klantgegevens 7 jaar bewaren van de belastingdienst. Niet direct voorhanden met service inlog, maar wel bewaren.

slaay @Azenomei • 13 maart 2026 20:53

"Voor de Belastingdienst zijn wij verplicht factuurgegevens maximaal 7 jaar na einde van het abonnement/contract te bewaren. "

Dan is de vraag of ze ook daadwerkelijk klantgegevens moeten bewaren of alleen de (geanonimiseerde) facturen.

Azenomei @slaay • 13 maart 2026 21:01

Goede vraag. Geen idee eigenlijk. Wij bewaren overeenkomsten ook zo lang, maar niet toegankelijk voor iedereen.

[Reactie gewijzigd door Azenomei op 13 maart 2026 21:02]

m_snel @slaay • 13 maart 2026 22:01

Dat is vrij simpel, als je zaken doet dan moet je dus de persoon waarmee je zaken doet gewoon kunnen overleggen.

Anders kun je natuurlijk duizenden nep facturen uitje duim zuigen.

HADES2001 13 maart 2026 21:25

Ouch, succes om dit te verantwoorden wat betreft de AVG. Hopelijk word dit het eerste bedrijf die ze maximaal vervolgen want de impact nu is gigantisch. En nee niks tegen odido op zich maar grote bedrijven moeten veel voorzichter met onze burger data om gaan. Als Odido dan nu de eerste is dan so be it.

m_snel @HADES2001 • 13 maart 2026 21:59

Ik heb onlangs hun privicy statement door genomen en daar staat heel wat anders dan RTL beweert.

Ze zijn alleen al door de belastingdienst verplicht om gegevens zeven jaar te bewaren. Verder staat er dat als je een geschil hebt dat ze nog twee jaar nadat die is opgelost bewaren, dan zit je al aan negen jaar, en dan tel ik een rechtszaak van misschien jaren niet eens mee.

rko4u 13 maart 2026 19:07

Fijn dat RTL dit heeft ‘uitgezocht’, maar NOS bracht dit al op 17 februari dit bericht in het Financiele dagblad. https://nos.nl/artikel/2602804-odido-overschrijdt-eigen-termijn-bewaren-gegevens

[Reactie gewijzigd door rko4u op 13 maart 2026 19:08]

Stollie @rko4u • 13 maart 2026 19:14

Dit wordt teminste dubbel gecontroleerd. Het verwijderen van de data niet.

Ik was ook al jaren geen klant meer.

HandheldGaming @Stollie • 13 maart 2026 19:28

Ik ben er door het lek ook achtergekomen dat Odido alle E-mailadressen die ik ooit bij hun heb gebruikt in de dataset had. Ook E-mailadressen die ik al jaren niet meer bij ze gebruik, daardoor weet ik ook dat zij niks verwijderen.

Ik heb namelijk ongeveer 2 jaar geleden al mijn accounts en Emailadressen bij Odido zelf geconsolideerd in één account met één E-mailadres. Alle andere heb ik verwijderd (Odido dus niet).

Ik ben nu op een punt aangekomen dat ik er sterk over twijfel om niet alleen mijn wachtwoorden uniek te maken maar ook al mijn E-mailadressen. Gelukkig kan dit via mijn E-mailprovider. Dat is een klusje. Maar het lijkt te moeten.

henkkeumus @HandheldGaming • 13 maart 2026 19:36

Aliasje aanmaken. Met office365 is dat gewoon een + toevoegen in je adres.

als je hoofdadres voorbeeld@domein.nl kun je een alias aanmaken zonder dit in het adminpanel te maken door gewoon voorbeeld+alias@domein.nl in te vullen.

Niet elk formulier accepteert een + in een adres, maar ik heb voor elke service zowat een alias gebruikt en ik ondervind inderdaad herzelfde. 3 aliassen van min staan in de breach waarvan er 1 al wel zeker 5 jaar oud is…

Arjan90 @henkkeumus • 13 maart 2026 19:41

Maar wat is nu de échte toegevoegde waarde van een alias, behalve dat je die kan gebruiken om bijv. automatisch mails te verwijderen? Als ik het email adres voorbeeld+alias@domein.nl in een dataset zie, als kwaadwillende, dan kan ik natuurlijk gewoon voorbeeld@domein.nl gebruiken. Unieke e-mail adressen lijken mij alleen te werken als ze écht uniek zijn en dus niet herleidbaar naar je echte e-mail adres. Of mis ik iets?

thunder7 @Arjan90 • 13 maart 2026 20:15

Er is bijna altijd niet een menselijke kwaadwillende die die emailadressen bekijkt, maar een script. Dat is niet intelligent. Zo krijg ik nog steeds emails dat mijn creditcard verloopt, gericht aan vakgarage@mijndomein - die zijn wel heel gemakkelijk te onderscheiden.

Een mens snapt gelijk dat als vakgarage@mijndomein bestaat, je kunt proberen visa-spam aan visa@mijndomein te sturen. Maar dat doen ze (nog) niet.

Arjan90 @thunder7 • 13 maart 2026 20:19

Ik ken de scripts persoonlijk niet, maar dit is waarschijnlijk een van de meest simpele aanpassingen die er is aan e-mail adressen. veel simpeler dan "gokken" welk e-mail adres je nog meer zou kunnen gebruiken op dat domein (immers, het script "weet" niet of het een generieke hoster a la outlook.com of een persoonlijk domein). Even zoeken of er een + in het adres voorkomt en zo ja het deel tussen + en @ weghalen. Dit los je met één regel code op met een simpele Regular Expression (Replace).

Franckey @Arjan90 • 13 maart 2026 21:04

Om die reden gebruik ik een speciale alias voor de plus adressen. Als ik mail daarop zou krijgen zonder plus, weet ik gelijk dat het niet klopt. Maar dat komt nooit voor. Blijkbaar nemen spammers die moeite niet.

Franckey @henkkeumus • 13 maart 2026 21:00

Bij (gratis) Outlook en Gmail accounts werkt dit ook:

alias+voorbeeld@outlook.com

alias+voorbeeld@gmail.com

Kalief @henkkeumus • 14 maart 2026 00:37

Niet alleen veel formulieren maar ook veel providers accepteren zo'n +comment niet en knippen dat er gewoon af.

2TheMaks @HandheldGaming • 13 maart 2026 21:19

Ik ben er door het lek ook achtergekomen dat Odido alle E-mailadressen die ik ooit bij hun heb gebruikt in de dataset had. Ook E-mailadressen die ik al jaren niet meer bij ze gebruik, daardoor weet ik ook dat zij niks verwijderen.

Wat als de dataset ook logging van tot 15 jaar terug bevat? Als er dan een log-entry
[2014-02-17T14:26:42Z - Customer 'pietje.puk@home.nl' deleted]
voor komt in de logging dan komt het email-adres pietje.puk@home.nl dus voor in de data-set.

De check geeft aan dat een email-adres voor komt in de dataset, maar niet in welke context, en of er meer data gekoppeld is aan dat email-adres. Ofwel: Aannames: de wortel van al het kwaad...

[Reactie gewijzigd door 2TheMaks op 13 maart 2026 21:22]

The Realone @2TheMaks • 13 maart 2026 22:28

Uh, logging dien je ook gewoon op te schonen als daar persoonsgegevens in zitten.

Vuurvleugelhart @HandheldGaming • 13 maart 2026 21:56

'maar ook al mijn E-mailadressen' doe ik alweer een geruime tijd, kan het iedereen aanbevelen.
SimpleLogin is fantastisch, ook in combinatie met een eigen domein (hoef je niet eerst een mailadres aan te maken).
De mailbox blijft zo lekker rustig. Je kunt op een mail-alias ook enkel specifieke mailadressen blokkeren, vermindert de spam en uitnodiging voor enquêtes aanzienlijk.

royvosch @rko4u • 13 maart 2026 21:07

rtl berichte dit destijds ook al, maar herhalen graag dingen

wat gisteren bij EditieNl kwam komt de volgende dag weer bij rtl nieuws en andersom

Beveiliging en antivirus
Datalek

13 maart 2026 18:58

De provider zegt tegen RTL daarbij ook naar dataretentie te kijken.

Ik ben benieuwd waarom ze daar niet eerder naar keken. De AVG is niet nieuw.

[Reactie gewijzigd door The Zep Man op 13 maart 2026 22:11]

Luchtbakker @The Zep Man • 13 maart 2026 19:05

Bij een audit kijken ze doorgaans niet in de productieomgeving om steekproeven uit te voeren. Daarom slaan naar mijn idee die audits nergens op.

Alleen goed ingerichte (cyber) security afdelingen die zich ook bezig houd met dit soort procedures en of ze nageleefd worden.

Alamoos @Luchtbakker • 13 maart 2026 19:46

Ik werk voor een bedrijf wat vaak als data verwerker fungeert en ik stoor me ook mateloos aan auditors.

Zolang je op papier alles op orde hebt wordt the bare minimum gevraagd kwa bewijs dat deze processen ook bestaan en belangrijker of deze ook worden gecontroleerd. Een screenshot of 3 log regels die werkelijk niks zeggen worden al goedgekeurd. Ik had de hoop dat met NIS2 top down wat meer vereist zou worden maar dit lijkt wederom een papieren tijger met een kunstgebit te worden.

Odido

@Alamoos • 13 maart 2026 21:37

Dus als ik iedere minuut mijn emailadres verander bij Odido zorg ik voor 1440 entries per dag in de DB. Dat tikt dan lekker aan op een jaar tijd.

Audits zijn BS omdat ze ervan uitgaan dat degene die geaudit wordt te goeder trouw handelt. Het is ook echt het minimale van het minimale vinkjes zetten. Het is niet zo: ISO 27001 dus het zit goed, het zit zo: geen ISO 27001 niet eens je best gedaan (evt. om de boel om de tuin te lijden [sic]).

Auditors is ook een typisch voorbeeld van een bullshit job, zie: Wikipedia: Bullshit Jobs dat het loon in die sector gigantisch is, is ook onderdeel van de zwendel. Ja, zwendel. Er zijn zoveel voorbeelden van stelselmatig falen van de grote vier dat het niet grappig is.

Woefdramcx 13 maart 2026 18:59

Ik ken meer dan genoeg verhalen van mensen die al jaren niet meer bij Odido zaten, maar toch een mailtje kregen. Dan hoef je niet heel intensief meer te zoeken natuurlijk, het is dan glashelder dat -wederom- de belofte om data weg te gooien na de wettelijke termijn niet is nageleefd.

Daar zouden straffen op moeten staan. Serieuze straffen, waardoor bedrijven wel 3 keer nadenken voor ze gemakzuchtig omspringen met gevoelige data van heel veel mensen.

Somoghi @Woefdramcx • 13 maart 2026 20:09

Die eindverantwoordelijkheid moet eens met een vrijheidsstraf beloond worden. En dan bedoel ik niet direct een vrijheidsberoving, maar de vrijheid van keuze van dagbesteding bevoordeeld. Een goed begin zou zijn dat de verantwoordelijke(n) echt alle getroffen klanten en oud klanten persoonlijk bellen.

Khrome @Somoghi • 13 maart 2026 20:57

Dit inderdaad. Iemand heeft de bewuste keuze gemaakt om dataretentie te negeren, waarschijnlijk om "budgetaire redenen". En meerdere mensen hebben daarna bewust de AVG genegeerd.

Gewoon persoonlijk de eindverantwoordelijken strafbaar stellen. Directeurs en hoge managers krijgen flink betaald om verantwoordelijkheid te nemen, laat ze dat ook eens doen!

Pasteis 13 maart 2026 19:04

Hoe zit het met de bewaarplicht van 7 jaar voor facturen? Waar ook Odido aan moet houden. De factuur moet aan een persoon of bedrijf met een adres gericht zijn. Archiveren ze deze facturen met een kopie PDF zodat de businesspartner verwijdert kan worden?

Of zit daar nog bepaalde onderscheid in dat deze data in het CRM of ERP staat?

Ik kon online niet het antwoord terugvinden?

[Reactie gewijzigd door Pasteis op 13 maart 2026 19:04]

wiseger @Pasteis • 13 maart 2026 21:28

Gegevens die je in retentie bewaart, hoef je niet online te bewaren. Dat kan prima in een offline archief.

Odido

@wiseger • 14 maart 2026 07:25

Maar dat offline archief moet je alsnog tegen je retentie regels houden en elke week/ maand schonen.

Maar ik maak me geen illusies dat andere (telecom) bedrijven het beter hebben geregeld.

[Reactie gewijzigd door jongetje op 14 maart 2026 07:25]

Pasteis @wiseger • 14 maart 2026 07:59

Gegevens die je in retentie bewaart, hoef je niet online te bewaren. Dat kan prima in een offline archief.

En jij denkt dat Odido een fysiek archief voor heeft? Als ze enigszins aan deze eis voldoen denk ik dat ze het gewoon cold storage op een archiefserver hebben staan waar ze het op archiveren, maar ik geloof haast niet dat ze dan je stamdata uit hun ERP verwijderen.

mhnl1979 @Pasteis • 13 maart 2026 19:07

Ik kan mij voorstellen dat een adres andere koek is dan BSN en idbewijzen met bijbehorende data

jepper333 13 maart 2026 20:18

16 jaar geleden 1x in mijn leven 2 jaar klant geweest bij T-Mobile en ik sta ook in de dataset. Gaat echt helemaal nergens over...

denneke1280 @jepper333 • 13 maart 2026 20:35

Idem hier. 15 jaar geleden klant. Toen nog t-mobile. Moge de AP een boete geven van miljoenen.

Om te kunnen reageren moet je ingelogd zijn