Derde toezichthouder onderzoekt Odido-hack

De ACM onderzoekt of Odido bij de grote hack van eerder dit jaar de persoonsgegevens van klanten goed beschermde. Daarmee is de ACM de derde toezichthouder die de hack onderzoekt, na de RDI en de AP. Meer dan tien jaar geleden gaf de ACM KPN een boete omdat de provider klantgegevens niet goed had beveiligd.

De Autoriteit Consument & Markt sluit zich aan bij het onderzoek van de Rijksinspectie Digitale Infrastructuur en de Autoriteit Persoonsgegevens en voert dus geen los onderzoek uit. De ACM richt zich op 'de zorgplicht van telecomaanbieders om de persoonsgegevens van hun klanten op een passend niveau te beschermen, zodat derden daartoe geen toegang hebben'.

Het onderzoek van de ACM lijkt daardoor op dat van de RDI. De RDI onderzoekt ook of Odido's systemen goed beveiligd waren. Het is niet direct duidelijk hoe het onderzoek van de RDI afwijkt van dat van de ACM. De AP onderzoekt of Odido gegevens niet te lang bewaarde.

Het is niet voor het eerst dat de ACM een provider onderzoekt vanwege deze zorgplicht. In december 2013 kreeg KPN een boete omdat het deze plicht overtrad. Uit onderzoek bleek dat KPN de klantgegevens niet goed had beveiligd. KPN kreeg toen een boete van 364.000 euro. Het is niet duidelijk wat voor boete Odido riskeert.

Hackers phishten de klantenservice

Bij de hack van februari dit jaar stalen hackers de gegevens van miljoenen Odido-klanten. Zij phishten de klantenservice en verkregen zo tweetrapsauthenticatiecodes. Daarmee kwamen ze binnen bij de Salesforce-omgeving van Odido en konden ze de data stelen. De Nederlandse politie vermoedt dat hierbij Nederlanders betrokken waren.

Odido stock. Bron: SOPA Images//LightRocket/Getty Images
Bron: SOPA Images/LightRocket/Getty Images

Door Hayte Hugo

Redacteur

13-07-2026 • 15:03

81

Reacties (81)

Sorteer op:

Weergave:

Daarmee is de ACM de derde toezichthouder die de hack onderzoekt, na de RDI en de AP.
En daarom, dames en heren, wordt onze belasting steeds duurder. Wat een onzinnige verspilling van overheidsgeld!

Je zou natuurlijk kunnen bedenken dat één overheidsinstantie eerst inventariseert welke andere instanties mogelijk belangen hebben en welke belangen dat dan zijn of eventueel een gezamenlijk onderzoek uitvoeren. Maar nee, drie onafhankelijke onderzoeken á enkele honderden manuren per stuk. En dit is geen uitzondering.
Het staat vooral een beetje onduidelijk in de inleiding, in het artikel staat gewoon dat de ACM aansluit bij het onderzoek van die partijen. Die samenwerking is juist goed denk ik om geen dubbel werk te doen en precies duidelijk te krijgen welke bevoegdheden elke partij afzonderlijk heeft.

[Reactie gewijzigd door IThom op 13 juli 2026 21:14]

Prima dat meerdere partijen hier onderzoek naar doen en hopelijk ook een flinke boete uitdelen als Odido iets te verwijten valt hierin. Wat ik alleen niet begrijp is dat de gedupeerden niet van rechtswege worden gecompenseerd. Ik heb bijvoorbeeld mijn ID en Rijbewijs uit voorzorg vervangen en loop net als vele andere klanten nu nog meer dan anders extra op te letten wat er uit mijn naam eventueel digitaal gebeurd.
Wie gaat die boete betalen? Die zelfde klanten
Want alle bedrijven doen aan cost-based-pricing?

Echt dit soort flauwekul (idem als het over loonsverhoging voor mensen aan de onderkant van de arbeidsmarkt gaat) wordt zo bizar veel na gepapagaaid. Zonder ook maar een seconde na te denken en het staat nog op +1 ook.

Als Odido die boete zo 1 op 1 bij zijn klanten op kan halen, Hoezo cashen ze dan nu niet voor het zelfde bedrag en maken ze gewoon meer winst?
De boete wordt door Odido betaald, meeste grote bedrijven hebben wel een potje voor dit soort boetes. Mocht het potje niet genoeg zijn en zouden ze genoodzaakt zijn prijsverhogingen door te voeren kunnen klanten per direct hun abo stoppen en naar een andere provider gaan. De huidige klanten krijgen niet de rekening maar eventueel toekomstige klanten zouden die kunnen krijgen. Bij een prijsverhoging moeten ze echter oppassen dat ze zichzelf niet uit de markt prijzen, gelukkig is er genoeg concurentie dat waarschijnlijk grote prijsverhogingen niet rendabel is.
Ja, in volksmond heet het een potje, bij bedrijven heet het "klanten".
Tja dan zal odido een keer minder winst moeten trekken uit de handel. Het voetstoots aannemen dat de prijzen verhoogt worden is wat makkelijk door te de bocht. Het zou beter zijn als er eens gekeken werd of er voorzieningen worden genomen op de winst. Is ook interessant of te zien wat het bedrijf verwacht dat er op zich afkomt. Maar ja, dat is wellicht hogere boekhoudkunde waar natuurlijk wat mee valt te manipuleren. Het bedrijf opereert per slot van rekening ook in andere landen.
Boete = kosten . Want doen bedrijven? Kosten door berekenen aan de klanten. Kijk dadelijk maar naar de jaarlijkse verhogingen elk bedrijf doet die we zien dat elk jaar terug in de bericht geving over verhogingen ook hier op tweakers.
Ik wordt op meerdere manieren al lastiggevallen. Van een maandje terug heb ik een week lang elke dag aan de lopende band wachtwoorden en MFA moeten veranderen, omdat ik meerdere meldingen kreeg van geslaagde/niet geslaagde inlogpogingen op verschillende accounts. Zelfs mijn werkaccount was op een gegeven moment compromised, wat een databreach tot gevolg heeft gehad op het werk (netjes gemeld natuurlijk). Ook wordt ik wekelijks meerdere keren gebeld door scammers. Ik ben constant al die nummers aan het melden voor de blacklist (ik denk dat ik inmiddels nummer 1 contributor ben voor dat).

Het is niet meer te doen vandaag de dag. Ook al ben ik altijd zo voorzichtig geweest met alles wat ik online doe, er hoeft maar bij een of meerdere bedrijven mis te gaan en je bent de pineut. Je kunt er niks tegen doen, dan alleen maar blijven opletten, maar ondertussen ligt je privacy wel op straat.

Dit is de moderne werkelijkheid, en ik verafschuw het. Geef mij maar de tijd voor social media en smartphones terug! Vooral social media is een grote boosdoener.

[Reactie gewijzigd door IgorH op 14 juli 2026 17:25]

Als klant van odido krijg je niets extra terug mijn gegevens zijn uitgelekt en krijg veel spam telefoon en andere zooi binnen .
(...)En voert dus geen los onderzoek uit.
Ze sluiten zich aan bij bestaande onderzoeken.

Verder is het natuurlijk niet de vraag óf er iets is fout gegaan, maar wát er precies allemaal fout ging, in welke mate, om hoeveel gegevens het ging, hoeveel jaar aan data er bewaard is gebleven, etc.

Dit is allemaal nodig om de hoogte van de boete te bepalen, kan ik me zo voorstellen.
Laten we een organisatie oprichten vanuit de overheid die gaat onderzoeken welke onderzoekende instantie iets mag gaan onderzoeken. 8-)
Tenzij onze toezichthouders wat meer tanden zouden krijgen... maar ja we stemmen allemaal rechts dus het idee dat de staat iets voor ons allemaal kan doen. Moeten we vooral niet in ons hoofd halen. Lekker tandeloos blijven stemmen aub.
Autoriteit A kijkt naar gebied X, autoriteit B naar Y en autoriteit C naar Z. Het zou wat zijn, meerdere wetten breken en vervolgens beboet worden voor maar één…
Haha ja dat doet mij denken aan een lokaal café hier in het dorp. Controle door de gemeente: voordeur moet naar binnen draaien. Later controle door de brandweer: voordeur moet naar buiten draaien. Ze hebben uiteindelijk, om van het gezeur af te zijn, een klap deur gemonteerd...
Geluid-sluis versus nooduitgang. Beiden hebben gelijk. De voordeur is volgens mij geen probleem als die naar binnen opengaat, nooduitgangen moeten altijd naar buiten toe.

De voordeur bij een geluidsluis zou officieel geen nooduitgang mogen zijn omdat bij goede installatie de ene deur van de sluis niet open kan, als de andere nog open staat. Als dat de enige uitweg is, moet vaak een tussenvorm gevonden worden of gaat de voordeur wel naar buiten open.
Nee, beiden hebben niet gelijk. Beiden gaan maar eerst lekker met elkaar om de tafel zitten om het fatsoenlijk af te spreken.
Dan is de vraag vrij simpel: is het de enige vluchtroute of zijn er meerdere? Bij meerdere heeft de gemeente in principe wel gelijk, bij de enige vluchtroute gelden de regels van de brandweer.

Zie ook ECLI:NL:RBMNE:2025:6100 Rechtbank Midden-Nederland 12 november 2025

Kan wel inhouden dat bij het niet hebben van een geluid-sluis het café terugvalt op lagere geluidsnormen en niet mogen hebben van live muziek.

(ik woon niet in amersfoort, maar heb eenzelfde discussie gehad met een horeca punt bij mijn huis die vanwege veiligheid de geluid-sluis open liet staan ondanks 3 andere vluchtroutes en kan je vertellen dat 65-70dB geluid in je woonkamer en slaapkamer niet fijn is. Met de sluis dicht is dat 30dB aan de gevel)

[Reactie gewijzigd door SunnieNL op 13 juli 2026 16:07]

En je vergeet wie de rekening gaat krijgen de klanten nstuurlijk
Dan zou ik vooral voor willen stellen dat je even leest waar het geld van boetes naartoe gaat. Nu doe je namelijk een incorrect aanname.
Denk dat dat wel vrij duidelijk is, maar dan krijgen ze vervolgens weer een trieste boete die ze zo op kunnen hoesten en dan is het alsof er niks gebeurd is...
Misschien mag je daar blij mee zijn ook, want denk maar niet dat de aandeelhouders daar voor gaan betalen.
In een markt met behoorlijk wat concurrentie kunnen ze dat moeilijk doorbelasten aan de gebruikers. Dan prijzen ze zichzelf behoorlijk uit de markt. Hoera voor marktwerking!
Sorry welke marktwerking hebben we het precies over? Ik kan kiezen tussen Ziggo, Odido of een oudere koperen lijn? Marktwerking is echt een sprookje en dat weten al deze tenten dondersgoed.
De ACM heeft geconcludeerd dat de markt voldoende competitief is, maar de transparantie en 'prijsvergelijkbaarheid' stukken beter kan.

De consumentenbond echter stelt dat de prijsdruk niet voldoende is om te spreken van echte concurrentie. Punt is dat je dus regionaal afhankelijk kan zijn van een beperkt aanbod, waardoor landelijk gezien de markt best in orde is, maar regionaal er nauwelijks sprake is van marktwerking.

Als je Odido glasvezel hebt, dan heb je meestal ook Freedom Internet, TriNed, SNLR.nl, Fiber.nl, Multifiber, ONVI, Stipte en RapidXS via Open Dutch Fiber.
Waarom moet iemand blij zijn met dat een commerciële organisatie met een tik op de vingers ergens mee wegkomt? Men kan altijd overstappen naar een concurrent die geen boetes ontvangt om door te rekenen naar klanten.
Als je aandeelhouder bent betaal je sowieso.
  1. De reputatie van je bedrijf ligt aan diggelen
  2. Je bedrijf krijgt mogelijk de opdracht om zijn systemen aan te passen, dat kan vrij veel geld kosten
  3. Medewerkers op de pay roll moeten zich bezig houden met vragen van toezichthouders beantwoorden
  4. Boetes zelf
Ik wil je two minutes of hate niet verpesten, maar de kosten die bovenstaande genereren vallen niet zomaar met extra prijsverhogingen op te vangen. Immers, als dit allemaal niet gebeurt was, hadden ze meer mogelijkheid gehad om een hogere prijs te vragen, niet minder (hun reputatie was namelijk nog niet zo slecht).
Leuk dat je met punten werkt, want dat maakt het makkelijker om deze te weerleggen.

Jouw punt 1. heeft niets met de boete te maken. Dat is al tijdens de hack gebeurd.
Punt 2. Als dit nu, na al die maanden, nog steeds niet op orde is, dan heeft zo'n organisatie eigenlijk geen bestaansrecht, in ieder geval niet meer het recht om met privégegevens van klanten te werken. Daarnaast zal elk bedrijf continu hun beveiliging up-to-date moeten houden.
Punt 3. Het beantwoorden van vragen gebeurt meestal door de leidinggevenden en de afdeling kan wel een middagje zonder deze leidinggevende. In het totaalplaatje van personeelskosten is dit niet meer dan een rimpeling, als het al een rimpeling is.
Punt 4. Beste klant, we hebben besloten uw abonnement met € 0.25 per maand te verhogen. Voor zo'n bedrag loopt geen klant weg en een boete is snel terugverdiend. En na het terugverdienen van de boete blijft dit bedrag gewoon in de abonnementskosten zitten. En dan begint de uitkering van de dividend aan diezelfde aandeelhouders, waarvan jij dacht dat die minder dividend zouden krijgen.
Hopelijk zorgt dit dat het duidelijk wordt dat grotere organisaties al preventief gecontroleerd moeten worden op de integriteit van hun systemen.

En zoals meerdere mensen al aangaven dan moeten de boetes ook proportioneel zijn met omzet die gedraaid wordt. Wellicht een boete die een % van de winst confereert.
Ik denk dat het antwoord al op het darkweb staat...
Het kwalijke in mijn optiek is niet zozeer of de gegevens goed zijn beschermd of niet maar vooral dat er onnodige data werd opgeslagen. Denk aan paspoortgegevens etc want na het vaststellenvan je ID en na een bepaalde juridische periode heeft het 0 nut om deze gegevens te bewaren. Mijn zus stamt nog uit de tele2 tijd en paspoortgegevens kwamen voor in de odido hack. Wel een ID dat lang en breed is verlopen maar is nergens voor nodig om deze gegevens voor 15 jaar te bewaren. Mijn eigen paspoortgegevens kwamen ook voor in de Odido hack terwijl ik al 3 jaar lang odido heb.

[Reactie gewijzigd door magnifor op 13 juli 2026 15:38]

Voor mij in ieder geval nooit meer odido
Waar gaat dat boetegeld precies heen? Want wat heeft dit voor toegevoegde waarde om uit te zoeken? De gegevens liggen al op straat, dus of het wel of niet goed was, daar hebben we niks meer aan. Doen we het voor een boete die we Odido op kunnen leggen, met doel?
Je snapt het concept van boetes niet? Stel je ook dezelfde vraag als je een boete krijgt wanneer je te hard gereden hebt of een factuur niet tijdig betaald hebt?

Het gaat, natuurlijk, om een afschrikwekkend effect, maken dat mensen zich aan de regels houden.

Waar het boetegeld naartoe gaat, kun je zeer eenvoudig vinden op de website van de drie toezichthouders.
Precies dat vraag ik me ook af... laten we dan ook vooral consistent zijn:

Stel iemand rijdt te snel en wordt betrapt. Waar gaat het boetegeld precies heen? Want wat heeft dit voor toegevoegde waarde om uit te zoeken? De overtreding is al gebeurt, daar verander je niets meer aan, dus of het wel of niet goed was, daar hebben we niks meer aan. Doen we het voor een boete die we de overtreder op kunnen leggen, met doel?

[Reactie gewijzigd door rboerdijk op 13 juli 2026 15:21]

Die boetes vloeien naar de algemene middelen en worden ingezet op posten waar tekorten zijn. Verkeersboetes vloeien daar in principe ook naartoe, maar zijn onderdeel van de begroting, daarom worden ze ook elk jaar buitensporig verhoogd: om de begroting te dichten.
Zie daar waar de boete heen gaat die de AP etc. uitschrijft.
De stelling was dat er bij Odido geen onderzoek nodig is omdat het kwaad toch al geschied is. Dan is mijn stelling dat iedereen gelijk moet worden behandeld - dus ook geen boete bij een verkeersovertreding omdat het (volgens de originele stelling) "toch niets uitmaakt".

Zie ook mijn eerdere bericht, dat is een copy & paste van de originele stelling (met minimale wijzigingen).

Ik snap ook best dat die (verkeers)boete naar algemene middelen vloeit - bedankt voor de verduidelijking.

[Reactie gewijzigd door rboerdijk op 13 juli 2026 19:30]

... maar als de stelling is dat Odido niet onderzocht hoeft te worden (met eventuele boete) omdat "het feit al geschied is" en "het toch niets meer uitmaakt", dan maak ik hetzelfde punt bij een verkeersovertreding. Gelijke behandeling voor iedereen.

[Reactie gewijzigd door rboerdijk op 13 juli 2026 19:27]

Een boete is per definitie een afschrikmechanisme. De bedoeling van een boete voor te hard rijden is ook niet direct om dat geld in meer flitspalen te steken (hoewel dat een interessant verdienmodel is), het zou moeten afschrikken zodat men in het vervolg zich beter aan de regels houdt. Daarnaast schept het in dit geval een precedent. Puur het feit dat er op deze schaal aandacht aan besteed wordt, is goed. Het zou ertoe moeten leiden dat bedrijven weten dat ze niet met allerlei dingen weg kunnen komen.

De vraag is natuurlijk wel of dit soort bedrijven wel last heeft van de consequenties, financieel dan wel qua reputatieschade.
Het staat je daarom ook volledig vrij om je aan te sluiten bij een rechtszaak om schadevergoeding te krijgen. Een boete is geen schadevergoeding, dat klopt. Het uitzoeken helpt de volledige oorzaak te vinden en/of bevestigen. Op die manier kan in de toekomst mogelijk meer voorkomen worden, zonder dat je daarbij de commerciële partij die z'n eigen uitleg op de mooie ogen vertrouwt. Odido heeft er niet per se baat bij eerlijk te zijn.
Sommige mensen zijn simpelweg te lui om iets op te zoeken of iets te ondernemen in het leven. Het boetebedrag gaat naar de staatskas. Had je vroeger opgelet, dan had je dit in 2013 al kunnen lezen.

Dat de overtreding is geweest en er dus eventueel een boete volgt, lijkt me logisch. Je krijgt geen boete vooraf, maar achteraf. Als ik door rood rijd en een boete krijg, dan is mijn verdediging ook niet: "Ja maar, nu ben ik al thuis, dus hebben we niets meer aan de boete." Toch? De logica van jouw vraag ontgaat me.

Wat is het doel van de boete van de ACM? Het doet een beetje pijn. Niemand vind het leuk om een boete te krijgen, dus het idee is dat bedrijven en instanties een beetje hun best doen om dat te voorkomen. Een onderliggend doel is dat de boete als doel heeft om het consumentenvertrouwen weer te herstellen. Jouw aanpak van foei zeggen en weer doorgaan, zal het tegenovergestelde bewerkstelligen. De consument ziet dat bedrijven die de fout in gaan hier toch echt niet zomaar mee wegkomen.

Een ander doel is het creëren van een gelijk speelveld. Gegevens beschermen kost geld. Bezuinig je daarop dan heb je een voordeel op de concurrentie. Krijg je een boete, dan is dat voordeel weer weg. Je kunt dus de gok wagen, maar er is een kans dat je alsnog de rekening krijgt.
Dat zou je denken, maar blijkt dat uit historische gegevens? Dat zou namelijk betekenen dat een bedrijf wat een boete heeft gekregen best duurder zou moeten zijn dan de concurrent. Daarbij is het geen legitieme reden om een prijsverhoging door te voeren (anders dan de inflatiecorrectie) dus zou het voor bestaande klanten betekenen dat ze zonder boete zouden mogen overstappen.

Nieuwe klanten jaag je weg met flink hogere prijzen.

Meestal zie je dat de boete wordt betaalt vanuit interne bedrijfskosten. Uiteindelijk zal een deel moeten binnenkomen vanuit de klant, maar het kan zomaar zijn dat het bedrijfsfeestje wat minder heftig wordt, om maar eens wat te noemen.
Kun je dat onderbouwen?
Bedrijven hebben kosten, die kosten worden door berekend aan klanten. Dat gebeurt altijd kijk naar benzine olie prijs omhoog benzine prijs om hoog. Dat gelt ook voor abonnement elk jaar zien we op tweakers de berichten voorbij komen voor jaarlijkse prijs verhogingen. Miljoenen boete, prima dat zijn kosten , die kosten worden gewoon mee genomen in de jaarlijkse verhogingen
Dat gaat dus lang niet één op één op. Dat is het punt. De energieprijzen (waar brandstof ook onder valt) zetten wel degelijk de bedrijfsvoering en winstmarge onder druk. Bedrijven willen natuurlijk de kosten zo snel mogelijk compenseren, maar moeten ook denken aan hun positie op de markt. Juist als je kijkt naar de olieprijzen dan zie je dat dit niet direct of volledig worden doorberekend naar klanten. Er wordt gesneden in de interne kosten om uiteindelijk toch met een concurrerende prijs op de markt te komen.

Kijk je echter naar de bedrijven die nauwelijks last hebben van concurrentie of marktwerking, dan gaat die vlieger natuurlijk wel op. De winsten van bedrijven als Shell gaan door het dak. Kijk je echter naar bedrijven die wel moeten omgaan met de markt, dan staan die marges behoorlijk onder druk.
Ik weet het niet hoor, maar volgens mij is het antwoord..... NEE
--onjuist geplaatste reactie--

[Reactie gewijzigd door IThom op 13 juli 2026 15:17]

Wat gaat de ACM dan doen of welk vlak is het voor hun?

Jaren terug al bij ACM gemeld maar omdat het over account/persoons info ging werd ik doorverwezen naar AP (ACM was kwa naam bekender dus daar gemeld), want het was niet voor de ACM. Goed bij AP gemeld. Nooit wat gehoord. 4 jaar later de hack...

Om te kunnen reageren moet je ingelogd zijn