Derde toezichthouder onderzoekt Odido-hack

De ACM onderzoekt of Odido bij de grote hack van eerder dit jaar de persoonsgegevens van klanten goed beschermde. Daarmee is de ACM de derde toezichthouder die de hack onderzoekt, na de RDI en de AP. Meer dan tien jaar geleden gaf de ACM KPN een boete omdat de provider klantgegevens niet goed had beveiligd.

De Autoriteit Consument & Markt sluit zich aan bij het onderzoek van de Rijksinspectie Digitale Infrastructuur en de Autoriteit Persoonsgegevens en voert dus geen los onderzoek uit. De ACM richt zich op 'de zorgplicht van telecomaanbieders om de persoonsgegevens van hun klanten op een passend niveau te beschermen, zodat derden daartoe geen toegang hebben'.

Het onderzoek van de ACM lijkt daardoor op dat van de RDI. De RDI onderzoekt ook of Odido's systemen goed beveiligd waren. Het is niet direct duidelijk hoe het onderzoek van de RDI afwijkt van dat van de ACM. De AP onderzoekt of Odido gegevens niet te lang bewaarde.

Het is niet voor het eerst dat de ACM een provider onderzoekt vanwege deze zorgplicht. In december 2013 kreeg KPN een boete omdat het deze plicht overtrad. Uit onderzoek bleek dat KPN de klantgegevens niet goed had beveiligd. KPN kreeg toen een boete van 364.000 euro. Het is niet duidelijk wat voor boete Odido riskeert.

Hackers phishten de klantenservice

Bij de hack van februari dit jaar stalen hackers de gegevens van miljoenen Odido-klanten. Zij phishten de klantenservice en verkregen zo tweetrapsauthenticatiecodes. Daarmee kwamen ze binnen bij de Salesforce-omgeving van Odido en konden ze de data stelen. De Nederlandse politie vermoedt dat hierbij Nederlanders betrokken waren.

Odido stock. Bron: SOPA Images//LightRocket/Getty Images
Bron: SOPA Images/LightRocket/Getty Images

Door Hayte Hugo

Redacteur

13-07-2026 • 15:03

53

Reacties (53)

Sorteer op:

Weergave:

Daarmee is de ACM de derde toezichthouder die de hack onderzoekt, na de RDI en de AP.
En daarom, dames en heren, wordt onze belasting steeds duurder. Wat een onzinnige verspilling van overheidsgeld!

Je zou natuurlijk kunnen bedenken dat één overheidsinstantie eerst inventariseert welke andere instanties mogelijk belangen hebben en welke belangen dat dan zijn of eventueel een gezamenlijk onderzoek uitvoeren. Maar nee, drie onafhankelijke onderzoeken á enkele honderden manuren per stuk. En dit is geen uitzondering.
Het staat vooral een beetje onduidelijk in de inleiding, in het artikel staat gewoon dat de ACM aansluit bij het onderzoek van die partijen. Die samenwerking is juist goed denk ik om heb dubbel werk te doen en precies duidelijk te krijgen welke bevoegdheden elke partij afzonderlijk heeft.
Prima dat meerdere partijen hier onderzoek naar doen en hopelijk ook een flinke boete uitdelen als Odido iets te verwijten valt hierin. Wat ik alleen niet begrijp is dat de gedupeerden niet van rechtswege worden gecompenseerd. Ik heb bijvoorbeeld mijn ID en Rijbewijs uit voorzorg vervangen en loop net als vele andere klanten nu nog meer dan anders extra op te letten wat er uit mijn naam eventueel digitaal gebeurd.
Wie gaat die boete betalen? Die zelfde klanten
De boete wordt door Odido betaald, meeste grote bedrijven hebben wel een potje voor dit soort boetes. Mocht het potje niet genoeg zijn en zouden ze genoodzaakt zijn prijsverhogingen door te voeren kunnen klanten per direct hun abo stoppen en naar een andere provider gaan. De huidige klanten krijgen niet de rekening maar eventueel toekomstige klanten zouden die kunnen krijgen. Bij een prijsverhoging moeten ze echter oppassen dat ze zichzelf niet uit de markt prijzen, gelukkig is er genoeg concurentie dat waarschijnlijk grote prijsverhogingen niet rendabel is.
(...)En voert dus geen los onderzoek uit.
Ze sluiten zich aan bij bestaande onderzoeken.

Verder is het natuurlijk niet de vraag óf er iets is fout gegaan, maar wát er precies allemaal fout ging, in welke mate, om hoeveel gegevens het ging, hoeveel jaar aan data er bewaard is gebleven, etc.

Dit is allemaal nodig om de hoogte van de boete te bepalen, kan ik me zo voorstellen.
Autoriteit A kijkt naar gebied X, autoriteit B naar Y en autoriteit C naar Z. Het zou wat zijn, meerdere wetten breken en vervolgens beboet worden voor maar één…
Haha ja dat doet mij denken aan een lokaal café hier in het dorp. Controle door de gemeente: voordeur moet naar binnen draaien. Later controle door de brandweer: voordeur moet naar buiten draaien. Ze hebben uiteindelijk, om van het gezeur af te zijn, een klap deur gemonteerd...
Geluid-sluis versus nooduitgang. Beiden hebben gelijk. De voordeur is volgens mij geen probleem als die naar binnen opengaat, nooduitgangen moeten altijd naar buiten toe.

De voordeur bij een geluidsluis zou officieel geen nooduitgang mogen zijn omdat bij goede installatie de ene deur van de sluis niet open kan, als de andere nog open staat. Als dat de enige uitweg is, moet vaak een tussenvorm gevonden worden of gaat de voordeur wel naar buiten open.
Nee, beiden hebben niet gelijk. Beiden gaan maar eerst lekker met elkaar om de tafel zitten om het fatsoenlijk af te spreken.
Dan is de vraag vrij simpel: is het de enige vluchtroute of zijn er meerdere? Bij meerdere heeft de gemeente in principe wel gelijk, bij de enige vluchtroute gelden de regels van de brandweer.

Zie ook ECLI:NL:RBMNE:2025:6100 Rechtbank Midden-Nederland 12 november 2025

Kan wel inhouden dat bij het niet hebben van een geluid-sluis het café terugvalt op lagere geluidsnormen en niet mogen hebben van live muziek.

(ik woon niet in amersfoort, maar heb eenzelfde discussie gehad met een horeca punt bij mijn huis die vanwege veiligheid de geluid-sluis open liet staan ondanks 3 andere vluchtroutes en kan je vertellen dat 65-70dB geluid in je woonkamer en slaapkamer niet fijn is. Met de sluis dicht is dat 30dB aan de gevel)

[Reactie gewijzigd door SunnieNL op 13 juli 2026 16:07]

En je vergeet wie de rekening gaat krijgen de klanten nstuurlijk
Dan zou ik vooral voor willen stellen dat je even leest waar het geld van boetes naartoe gaat. Nu doe je namelijk een incorrect aanname.
Denk dat dat wel vrij duidelijk is, maar dan krijgen ze vervolgens weer een trieste boete die ze zo op kunnen hoesten en dan is het alsof er niks gebeurd is...
Misschien mag je daar blij mee zijn ook, want denk maar niet dat de aandeelhouders daar voor gaan betalen.
In een markt met behoorlijk wat concurrentie kunnen ze dat moeilijk doorbelasten aan de gebruikers. Dan prijzen ze zichzelf behoorlijk uit de markt. Hoera voor marktwerking!
Sorry welke marktwerking hebben we het precies over? Ik kan kiezen tussen Ziggo, Odido of een oudere koperen lijn? Marktwerking is echt een sprookje en dat weten al deze tenten dondersgoed.
De ACM heeft geconcludeerd dat de markt voldoende competitief is, maar de transparantie en 'prijsvergelijkbaarheid' stukken beter kan.

De consumentenbond echter stelt dat de prijsdruk niet voldoende is om te spreken van echte concurrentie. Punt is dat je dus regionaal afhankelijk kan zijn van een beperkt aanbod, waardoor landelijk gezien de markt best in orde is, maar regionaal er nauwelijks sprake is van marktwerking.

Als je Odido glasvezel hebt, dan heb je meestal ook Freedom Internet, TriNed, SNLR.nl, Fiber.nl, Multifiber, ONVI, Stipte en RapidXS via Open Dutch Fiber.
Waarom moet iemand blij zijn met dat een commerciële organisatie met een tik op de vingers ergens mee wegkomt? Men kan altijd overstappen naar een concurrent die geen boetes ontvangt om door te rekenen naar klanten.
ach, woordje 'verantwoordelijkheid' of woorden als 'consequenties' lees je nooit bij dit soort berichten, of onderzoeken; gaat altijd over proces / procedures - maar zelden over eventuele gevolgen of eindverantwoordelijken.
Je hebt als klant of gedupeerde dan ook geen overeenkomst met een persoon, maar met een bedrijf. Het bedrijf is verantwoordelijk en hoe ze dat intern oplossen... tja.
klopt; exact mijn punt - dit heeft 0 consequenties voor de eindverantwoordelijke
we (odido) of andere toko's gaan gewoon vrolijk verder
Dat is dan ook niet de taak van de ACM. Mocht het komen tot een rechtszaak dan zou het een optie zijn om hoofdelijk verantwoordelijken achter hun broek te zitten. De ACM kijkt naar het handelen van de bedrijven.
Dat is natuurlijk niet helemaal waar. In sommige gevallen kan bewezen worden wie er exact nalatige is geweest. Niet altijd en vaak kopen bedrijven die schulden af. Goed voorbeeld hier van was ING. Die schikte een zaak waar bij 10-20 tal bankiers die voorbeeld ing werkte zich schuldig had gemaakt aan het helpen van klanten bij witwas praktijken.
Hopelijk zorgt dit dat het duidelijk wordt dat grotere organisaties al preventief gecontroleerd moeten worden op de integriteit van hun systemen.

En zoals meerdere mensen al aangaven dan moeten de boetes ook proportioneel zijn met omzet die gedraaid wordt. Wellicht een boete die een % van de winst confereert.
Ik denk dat het antwoord al op het darkweb staat...
Het kwalijke in mijn optiek is niet zozeer of de gegevens goed zijn beschermd of niet maar vooral dat er onnodige data werd opgeslagen. Denk aan paspoortgegevens etc want na het vaststellenvan je ID en na een bepaalde juridische periode heeft het 0 nut om deze gegevens te bewaren. Mijn zus stamt nog uit de tele2 tijd en paspoortgegevens kwamen voor in de odido hack. Wel een ID dat lang en breed is verlopen maar is nergens voor nodig om deze gegevens voor 15 jaar te bewaren. Mijn eigen paspoortgegevens kwamen ook voor in de Odido hack terwijl ik al 3 jaar lang odido heb.

[Reactie gewijzigd door magnifor op 13 juli 2026 15:38]

Waar gaat dat boetegeld precies heen? Want wat heeft dit voor toegevoegde waarde om uit te zoeken? De gegevens liggen al op straat, dus of het wel of niet goed was, daar hebben we niks meer aan. Doen we het voor een boete die we Odido op kunnen leggen, met doel?
Sommige mensen zijn simpelweg te lui om iets op te zoeken of iets te ondernemen in het leven. Het boetebedrag gaat naar de staatskas. Had je vroeger opgelet, dan had je dit in 2013 al kunnen lezen.

Dat de overtreding is geweest en er dus eventueel een boete volgt, lijkt me logisch. Je krijgt geen boete vooraf, maar achteraf. Als ik door rood rijd en een boete krijg, dan is mijn verdediging ook niet: "Ja maar, nu ben ik al thuis, dus hebben we niets meer aan de boete." Toch? De logica van jouw vraag ontgaat me.

Wat is het doel van de boete van de ACM? Het doet een beetje pijn. Niemand vind het leuk om een boete te krijgen, dus het idee is dat bedrijven en instanties een beetje hun best doen om dat te voorkomen. Een onderliggend doel is dat de boete als doel heeft om het consumentenvertrouwen weer te herstellen. Jouw aanpak van foei zeggen en weer doorgaan, zal het tegenovergestelde bewerkstelligen. De consument ziet dat bedrijven die de fout in gaan hier toch echt niet zomaar mee wegkomen.

Een ander doel is het creëren van een gelijk speelveld. Gegevens beschermen kost geld. Bezuinig je daarop dan heb je een voordeel op de concurrentie. Krijg je een boete, dan is dat voordeel weer weg. Je kunt dus de gok wagen, maar er is een kans dat je alsnog de rekening krijgt.
Wie gaat die boete betalen? De klanten van odfido want volgende jaren gaat de prijs iets meer omhoog. Dus de klanten betalen weer een extra vorm van belasting.
Dat zou je denken, maar blijkt dat uit historische gegevens? Dat zou namelijk betekenen dat een bedrijf wat een boete heeft gekregen best duurder zou moeten zijn dan de concurrent. Daarbij is het geen legitieme reden om een prijsverhoging door te voeren (anders dan de inflatiecorrectie) dus zou het voor bestaande klanten betekenen dat ze zonder boete zouden mogen overstappen.

Nieuwe klanten jaag je weg met flink hogere prijzen.

Meestal zie je dat de boete wordt betaalt vanuit interne bedrijfskosten. Uiteindelijk zal een deel moeten binnenkomen vanuit de klant, maar het kan zomaar zijn dat het bedrijfsfeestje wat minder heftig wordt, om maar eens wat te noemen.
Je snapt het concept van boetes niet? Stel je ook dezelfde vraag als je een boete krijgt wanneer je te hard gereden hebt of een factuur niet tijdig betaald hebt?

Het gaat, natuurlijk, om een afschrikwekkend effect, maken dat mensen zich aan de regels houden.

Waar het boetegeld naartoe gaat, kun je zeer eenvoudig vinden op de website van de drie toezichthouders.
Precies dat vraag ik me ook af... laten we dan ook vooral consistent zijn:

Stel iemand rijdt te snel en wordt betrapt. Waar gaat het boetegeld precies heen? Want wat heeft dit voor toegevoegde waarde om uit te zoeken? De overtreding is al gebeurt, daar verander je niets meer aan, dus of het wel of niet goed was, daar hebben we niks meer aan. Doen we het voor een boete die we de overtreder op kunnen leggen, met doel?

[Reactie gewijzigd door rboerdijk op 13 juli 2026 15:21]

Die boetes vloeien naar de algemene middelen en worden ingezet op posten waar tekorten zijn. Verkeersboetes vloeien daar in principe ook naartoe, maar zijn onderdeel van de begroting, daarom worden ze ook elk jaar buitensporig verhoogd: om de begroting te dichten.
Zie daar waar de boete heen gaat die de AP etc. uitschrijft.
Een boete is per definitie een afschrikmechanisme. De bedoeling van een boete voor te hard rijden is ook niet direct om dat geld in meer flitspalen te steken (hoewel dat een interessant verdienmodel is), het zou moeten afschrikken zodat men in het vervolg zich beter aan de regels houdt. Daarnaast schept het in dit geval een precedent. Puur het feit dat er op deze schaal aandacht aan besteed wordt, is goed. Het zou ertoe moeten leiden dat bedrijven weten dat ze niet met allerlei dingen weg kunnen komen.

De vraag is natuurlijk wel of dit soort bedrijven wel last heeft van de consequenties, financieel dan wel qua reputatieschade.
Het staat je daarom ook volledig vrij om je aan te sluiten bij een rechtszaak om schadevergoeding te krijgen. Een boete is geen schadevergoeding, dat klopt. Het uitzoeken helpt de volledige oorzaak te vinden en/of bevestigen. Op die manier kan in de toekomst mogelijk meer voorkomen worden, zonder dat je daarbij de commerciële partij die z'n eigen uitleg op de mooie ogen vertrouwt. Odido heeft er niet per se baat bij eerlijk te zijn.
Wellicht ook een verbod uitbrengen van verhoging van prijzen voor komende 1 a 2 jaar. Uiteindelijk zijn het de klanten waarvan de data op straat ligt EN die de boete gaan betalen voor odido
Dat zal werken, het is gelukkig geen communistische staat hier :)
Ik snap de link met communisme ook niet direct. Ik zou prijs vast legging voor x aantal jaar een prima straf vinden voor een bedrijf.
Wat heeft dat met communisme van doen? Kun je dat uitleggen, aub? Want ik snap de link niet. Ik zie het voorstel als een vorm van compensatie voor geleden schade. Overigens een waarvan ik niet zou profiteren aangezien ik naar Freedom verkast ben.
Omdat in een communistische staat je geen echte bedrijven hebt, dat is allemaal van de staat, die bepaalt dus. Wij leven in een vrije markt, zou absurd zijn als men zich daar mee kon bemoeien.

Voor geleden schade en dergelijke hebben we schadevergoedingen, en boetes zijn om het bedrijf af te schrikken, deze gaan vaak naar de staat niet naar de slachtoffers.
De vrije markt is een even groot sprookje als het Communisme. Voor exact dezelfde reden:

Een handje vol zelfzuchtige eikels verneuken het voor iedereen.

Een vrije markt heeft geen enkele manier om een monopolie tegen te houden.
De grootste kopen al hun concurrenten op, of prijzen ze uit de markt tot ze failliet gaan. En vanaf alle concurrenten weg zijn kiezen ze welke prijs ze maar willen.
Daarom heb je regulatie van de markt nodig.

En nee, een extra regulatie maakt ons nog niet meteen communistisch.
Man, was het maar zo'n feest. Dan kon je gewoon 1 staatsbedrijf hebben die over glasvezel aanlegde in plaats van dat een stuk of vier bedrijven dat soms wel of soms niet in jouw straat doen en er ook nog eens veel geld voor vragen...
Regulatie is noodzakelijk voor een goede markt.
Het is geen geldige reden op de prijzen te verhogen voor bestaande klanten en voor nieuwe klanten zou dat niet echt gunstig uitpakken in de prijsvergelijkingen. Lang leve marktwerking!
Ik weet het niet hoor, maar volgens mij is het antwoord..... NEE
--onjuist geplaatste reactie--

[Reactie gewijzigd door IThom op 13 juli 2026 15:17]


Om te kunnen reageren moet je ingelogd zijn