Door Kevin Krikhaar

Redacteur

Feedback • 17-02-2026 12:00 238

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

17-02-2026 • 12:00

238

Odido

Klanten van Odido waren afgelopen week eens niet de dupe van een storing, maar van een datalek. Hackers zouden via phishing en socialengineering de wachtwoorden en 2fa-codes van klantenservicemedewerkers hebben gestolen, waarmee ze in de Salesforce-omgeving terecht konden komen die Odido gebruikt voor klantregistraties.

Daarbij zijn uiteenlopende gegevens gestolen van miljoenen (voormalige) klanten van zowel Odido zelf als zustermerk Ben. Het kan gaan om naw-gegevens, mobiele nummers, klantnummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en identificatiegegevens. Bij dat laatste gaat het om het nummer en de geldigheidsduur van paspoorten, ID-kaarten en rijbewijzen.

Op een informatiepagina geeft Odido aan dat het probeert te voorkomen dat klanten op enige manier schade ondervinden door het datalek. Op fora zoals dat van Tweakers vinden klanten dat het daar nu al te laat voor is en dat zij al schade hebben geleden. Daar zou dan mogelijk ook een vergoeding tegenover moeten staan. Juristen die Tweakers sprak stellen dat het behoorlijk lastig is om schade aan te tonen, maar dat dit in dit geval niet volledig kansloos is.

Hebben klanten schade geleden?

Alleen het feit dat er data gestolen is, is niet genoeg om een compensatie te krijgen. Klanten moeten aantonen dat zij materiële of immateriële schade hebben geleden door het datalek. In het verleden is dit in Nederland enkele keren succesvol aangetoond. Daarbij ging het meestal om uitgelekte medische gegevens. Zo kreeg een vrouw in 2023 500 euro schadevergoeding voor de angst die zij heeft geleden door een datalek bij het UWV.

Dit zijn uitzonderingen. Bovendien zijn er in Nederland nog geen succesvolle massaclaims over datalekken, zegt advocaat Sven van Dooren tegen Tweakers. Onderzoeken naar de haalbaarheid van een claim omtrent de gelekte data bij Bevolkingsonderzoek Nederland lopen momenteel nog.

In het geval van Odido zijn er geen medische gegevens gelekt. Voor het grootste deel van de gestolen persoonsgegevens is schade lastig aan te tonen. Er is wel één persoonsgegeven waarbij schade beter te beargumenteren is, stelt juriste Charlotte Meindersma. Van sommige klanten zijn documentnummers van identiteitsbewijzen gestolen, inclusief de geldigheidsduur van het document.

Odido-datalek
Odido-datalek

In combinatie met de andere gestolen gegevens kan daar volgens Meindersma eenvoudig identiteitsfraude mee worden gepleegd. Het zou volgens haar dus niet vreemd zijn als klanten uit voorzorg nieuwe identiteitsbewijzen zouden aanvragen. Dat kan worden gezien als materiële schade, waardoor een deel van de kosten mogelijk verhaald kan worden op Odido. In het verleden konden provinciemedewerkers in de provincie Gelderland na een datalek al gratis een nieuw paspoort aanvragen, al gebeurde dit niet naar aanleiding van een rechtszaak.

In het geval van Odido zou het aanspannen van een massaclaim het meest logisch zijn, stelt Meindersma. De geleden schade door de gestolen documentnummers is niet specifiek van toepassing op één individu, maar op meerdere Odido-klanten. De betreffende klanten moeten dan wel bewijzen dat zij daadwerkelijk een nieuw paspoort hebben aangevraagd. Van Dooren plaatst daar als kanttekening bij dat, als hetzelfde documentnummer al eerder is gelekt, het verband tussen het lek bij Odido en de geleden schade nu, mogelijk lastiger aantoonbaar is.

Immateriële schade door een datalek is volgens Meindersma veel lastiger te bewijzen. "Dat is in Nederland nauwelijks aan de orde. Het wordt heel moeilijk om aan te tonen dat het datalek zoveel stress heeft opgeleverd dat de impact zo groot is dat je die in een bedrag kunt uitdrukken." De juriste stelt dat het in uitzonderlijke gevallen eventueel mogelijk zou zijn om immateriële schade te bewijzen als de gestolen gegevens worden geopenbaard, bijvoorbeeld op een hackersforum. Dat kan zich voordoen als iemand last heeft van een stalker en diegene door het datalek toegang krijgt tot adres- en telefoongegevens, terwijl deze gegevens verder zijn afgeschermd online. Vooralsnog zijn de Odido-gegevens niet gepubliceerd.

Is Odido aansprakelijk?

Waar de juristen het niet over eens zijn, is de vraag of Odido aansprakelijk kan worden gesteld voor de gestolen klantgegevens. Zo niet, dan hoeft de provider geen compensatie uit te keren. Van Dooren vindt het te vroeg om te oordelen of het bedrijf in dit geval nalatig is geweest met de beveiliging.

"Odido is zelf ook slachtoffer van criminelen", stelt hij. "Volgens de AVG moeten bedrijven voldoen aan verschillende verplichtingen, zoals het geven van regelmatige securitytraining aan medewerkers en het gebruiken van 2fa. Als Odido al die maatregelen heeft genomen en het gaat toch mis, kan dat de provider volgens de huidige wetgeving niet worden verweten. In hoeverre Odido die maatregelen daadwerkelijk heeft genomen, zal onderzocht moeten worden."

Meindersma kan zich wel voorstellen dat Odido aansprakelijk wordt gesteld voor het incident. "Het helpt Odido in ieder geval niet dat het zo eenvoudig was om de gegevens te stelen." Volgens haar lijkt het erop dat de organisatorische beveiliging onvoldoende is, omdat medewerkers niet goed genoeg waren geïnstrueerd om zo'n hack te voorkomen. Ook de technische beveiliging was mogelijk niet op orde, omdat Odido wellicht te veel persoonsgegevens in dezelfde database heeft opgeslagen, in plaats van een deel van de data, zoals documentnummers, apart te bewaren.

Bewaart Odido klantgegevens te lang?

Een andere vraag die hiermee in verband staat, is of Odido de gegevens van klanten niet te lang bewaart. Er zitten ook gegevens tussen van oud-klanten. Volgens Meindersma bestaat er geen vaste maximale bewaartermijn voor persoonsgegevens. Bedrijven hebben een goed onderbouwde reden nodig om persoonsgegevens te bewaren.

Odido bewaart verschillende gegevens van oud-klanten, zoals het bankrekeningnummer, naar eigen zeggen tot twee jaar na het aflopen van het contract. Het is volgens de jurist de vraag of dat te rechtvaardigen is. "Het is logisch dat je contactgegevens nog enige tijd bewaart voor marketingdoeleinden", stelt zij. "Maar andere informatie, waaronder het rekeningnummer, heb je niet meer nodig van een voormalige klant."

Het Financieele Dagblad meldt wel dat ook klanten die al vijf tot tien jaar geleden zijn overgestapt, een mail hebben gekregen waarin staat dat hun gegevens onderdeel zijn van het lek. Odido zegt tegenover het FD te onderzoeken waarom de gegevens van oud-klanten langer dan twee jaar worden bewaard.

"Ik kan me voorstellen dat de Autoriteit Persoonsgegevens vragen gaat stellen aan Odido naar aanleiding van het datalek", zegt Van Dooren. "Dan kunnen zij ook kijken naar de bewaartermijnen. Als de toezichthouder concludeert dat er fouten zijn gemaakt, wordt het voor individuen makkelijker om met succes een schadeclaim in te dienen." De AP reageerde niet op vragen van Tweakers.

Odido stock (bron: Pixelbizz/Getty Images)
Odido. Bron: Pixelbizz/Getty Images

Redactie: Kevin Krikhaar • Eindredactie: Monique van den Boomen

Lees meer

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Beveiliging en antivirus Datalek Odido

Reacties (238)

-Moderatie-faq
238
232
81
10
0
129
Wijzig sortering

Sorteer op:

Weergave:
D.nukem 17 februari 2026 12:20
Ik begrijp dat het via de credentials van een medewerker ging en niet door een achterdeur via een hack.

Kan iemand mij dan misschien uitleggen hoe het kan dat een medewerker zoveel klanten in een korte tijd in diens eentje kan verwerken zonder dat er een "scrape" beveiliging de toegang blokkeerd?

Nu komt de bedreiging van buitenaf, maar dit soort blokkades dienen er ook te zijn tegen kwaadwillende medewerkers, ik verweis naar de datalek vanuit de GGD door een medewerker intern.
Reageer
HaydenNL @D.nukem17 februari 2026 13:19
Ik heb ooit de samenvoeging van Vodafone en Ziggo (en nog wat kleinere merken) mogen begeleiden als externe consultant. Ik kreeg zonder enige mate van controle toegang tot alle klantgegevens en kon, als ik zou willen, met hun gehele klantenbestand naar buiten lopen. Dat verbaasde me toen al en nu nog steeds, hoe laks bedrijven zijn met beveiliging rondom (externe) medewerkers.

Mijn vriendin is werkzaam bij de IT-afdeling van een grote gemeente, daar doet ze o.a. logging-controles om te zien of mensen informatie opzoeken die niet bij hun functie behoort. Elke keer komen daar toch weer voorbeelden uit van datamisbruik.

Kortom, als men de kans heeft, dan zal men het niet nalaten om dit soort gegevens te raadplegen. Het zij uit nieuwsgierigheid, het zij met kwade bedoelingen. Dichttimmeren is het enige wat werkt maar dat kost, zoals hier al eerder benoemd, vaak geld wat men niet uit wil geven.
Reageer
computerjunky @HaydenNL17 februari 2026 14:13
Tja zo heb ik voor meerdere internationale concerns wat IT taken gedaan. Het is grappig hoe naïef bedrijven zijn maar dat is niet zo vreemd want thuis zijn deze mensen net zo naïef. Admin accountjes bijmaken, overboekingen inplannen, alle gegevens kopiëren het had allemaal gekund.

Nog leuker was dat ik bij 1 klant in Amsterdam gewoon de kluis in kon lopen waar letterlijk pellets met geld en goud lagen en om te testen kregen we alle gegevens van de bankrekeningen met vele miljoenen wat destijds lang niet zo goed beveiligd was als nu.

Volgens mij voelen mensen makkelijk afstand naar iets dat niet van hun zelf is. Maar aan de andere kant moet je ook mensen vertrouwen want iemand moet het doen als je het zelf niet kan doen.
Reageer
aikebah @computerjunky17 februari 2026 18:11
Ik hoop toch dat dat pallets waren :+ , pellets verbrand je in je kachel (en oude pallets op het paas- of nieuwjaarsvuur)
Reageer
AceAceAce @D.nukem17 februari 2026 12:37
Zo'n scrapebeveiliging bouwen is kosteninefficiënt. Throttling/limiting op interne endpoints op basis van abnormaal persoonlijk gebruik (en wat is dan abnormaal), staat haakt op dat alles zo snel mogelijk en zo vaak mogelijk beschikbaar moet zijn.

Limieten/throttling definieren voor je publieke endpoints, ter ondersteuning van DDoS protectie (bv AWS WAF rate-limiting rules) is al lastig, maar nog in te schatten en te verkopen, maar intern, met veel kleiner aanvalsvlak?

[Reactie gewijzigd door AceAceAce op 17 februari 2026 12:38]

Reageer
Mathijs Kok @AceAceAce17 februari 2026 13:21
Zo'n scrapebeveiliging bouwen is kosteninefficiënt. Throttling/limiting op interne endpoints op basis van abnormaal persoonlijk gebruik (en wat is dan abnormaal), staat haakt op dat alles zo snel mogelijk en zo vaak mogelijk beschikbaar moet zijn.
Uhhhh het gaat hier over Salesforce. Daar kan je niet makkelijk in 'bouwen'. Mocht Salesforce deze optie wel hebben en die niet in gebruik was, dan lijkt me dat nalatigheid makkelijker aan te tonen is. Persoonlijk ken ik geen systemen die dit zouden blokkeren. In een salesomgeving heb je vaak de gehele dataset nodig.
Reageer
Ferrox1 @Mathijs Kok17 februari 2026 14:02
Je kunt binnen salesforce makkelijk aangeven en beheren wat er wel en niet mag met welke rechtengroepen. Vervolgens hang je daar je accounts aan.
Ik vraag me vooral af wie er binnen Odido zich heeft laten lenen voor de social engineering. Want dit moet dan minimaal iemand met hogere rechten binnen salesforce zijn, die rechten heeft op diverse scraping tools. (of synchronisatie tools) Want "gewoon even 7 miljoen klanten info downloaden" vereist normaliter wel hogere rechten dan een support- /callcenter rechtengroep. Bovendien kun je uitzetten dat hele objecten met hun databases gedownload kunnen worden (ook vanuit reports en dashboards).

Bovendien kun je heel makkelijk instellen hoe lang de bewaartermijnen zijn van verschillende data in verschillende situaties. Ook de facturen zijn makkelijk apart te zetten met de 7 jaar bewaar termijn (desnoods op een offline of alternatieve storage). Ook kun je aangeven welke classificatie bepaalde gegevens hebben welke policy daarop gezet moet worden en dus automatisch gewist / geanonimiseerd worden.

Mijn ervaring tot nu toe als gecertificeerd salesforce admin is dat er vaak door een integrator partner een gelikte omgeving er in gestampt wordt. Maar data sanity volledig vergeten wordt. Het mooie is dat salesforce je hierop wel goed kan trainen via hun online platform (trailhead). Waar het vaak aan schort is prioriteit om dit ook goed te implementeren. Dit kost namelijk voorbereiding en tijd om deze migraties goed uit te voeren. Een sandbox met een (deel) (geanonimiseerde) snapshot van de data kost extra licenties om migratie stappen te testen. Ik vind de omgeving bij Odido sowieso rampzalig opgezet. Ik kijk soms mee in de store (waar ze letterlijk in salesforce kijken) en ik zie ze continu schakelen tussen systemen en verschillende views om simpele dingen voor elkaar te krijgen. Tja, daar krijg ik wel jeuk van en dit is een logisch gevolg als ook je data policy als dusdanig is ingericht.

[Reactie gewijzigd door Ferrox1 op 17 februari 2026 14:04]

Reageer
Piemol @Ferrox117 februari 2026 19:47
Want "gewoon even 7 miljoen klanten info downloaden" vereist normaliter wel hogere rechten dan een support- /callcenter rechtengroep
Disclamer: ik heb geen idee van de werking van SalesForce.

Kun je binnen SalesForce een limiet instellen in de trend van "max 10k records per uur" opvragen?
Er staat volgens mij nergens dat "de lek" één download is geweest. Wellicht heeft de hacker gewoon toegang gekregen en vervolgens handmatig een paar duizend pagina's doorgebladerd en 'geëxporteerd' (dus in batches te werk gaan).
Reageer
twkr18526 @Ferrox117 februari 2026 19:46
Als je toch zo op de details in gaat wie wat wel en niet mag zien, waarom heeft Odido je BSN gegevens nodig bij een mobiele abonnement? Bij een internet thuis abo hebben ze alleen een email adres en bankrekeningnummer nodig. Daar zal vast een goede reden voor zijn?
Reageer
Olifant1990 @twkr1852617 februari 2026 20:10
Toevallig een abonnement inclusief telefoon genomen?
Dan moeten ze kijken of je kredietwaardig bent en daar hebben ze je BSN voor nodig.
Net als dat je abo ook bij het BKR geregistreerd wordt.
Reageer
ochhanz @Ferrox117 februari 2026 21:04
Toen ik recent bij een winkel van Odido was konden de winkel medewerkers per abbo (gekoppeld aan een adres) bij een systeem een lijst van gegevens bekijken wat erg leek op de informatie die uitgelekt is (dus naam, adres etc, bij het ene abbo stond bijvoorbeeld wel een identiteitsbewijs nummer en type identiteitsbewijs en bij het andere abbo stond deze er niet tussen). De medewerkers hadden een postcode hiervoor nodig om dit in te zien. Dit is niet mijn beroep dus misschien mis ik iets maar dat leek me iets te makkelijk toegang tot al die informatie (in ieder geval voor de identiteitsbewijs informatie).

[Reactie gewijzigd door ochhanz op 17 februari 2026 21:12]

Reageer
GewoonWaarom @Mathijs Kok17 februari 2026 19:14
Als Salesforce dit limiteren niet kan is de software niet AVG compliant. Dit betekent dat alle bedrijven dit deze software gebruiken dezelfde systeemfout hebben. Dus het is wachten op de volgende fout.
Reageer
Daoka @AceAceAce17 februari 2026 13:44
(en wat is dan abnormaal)
Ik denk dat een bedrijf dit wel makkelijk kan betekenen. Ze zullen vast wel bijhouden hoe vaak en hoe lang mensen bellen voor controle of mensen hun werk wel doen. Pak het gemiddelde en doe daar ongeveer 30% bovenop. Of pak de uiterste en je zit goed.

Ik zelf zou schatten ongeveer 40 per uur. Ik schat dat je bij als de klant niet opneemt ongeveer een minuut kwijt ben. Dan denk ik aan de klant in de software laden, even kijken wat ze al hebben en wat ze misschien nog extra zouden kunnen / willen nemen, bellen, wachten of er opgenomen wordt en ophangen. Dit lijkt mij wel ongeveer een minuut te kunnen zijn. En als we uit gaan van 3 minuten per aangenomen gesprek. Dat zou dus 4 minuten zijn per 2 klanten wat uit komt op 30 per uur. Doe er dan iets meer bij en je komt op 40 tot 45 ongeveer per uur. Dit lijkt mij wel een redelijke schatting zonder het werk dwars te zitten. Daarnaast kan je natuurlijk ook iets inbouwen dat je niet meer als 5 per minuut mag zien om screenshots / scraping te voorkomen en dat er bijgehouden wordt hoe vaak je die limiet bereikt.
Reageer
Marve79 @Daoka17 februari 2026 17:34
Klinkt goed. Maar in de praktijk is fatsoenlijk patchen al een uitdaging voor veel bedrijven. Laat staan dit soort beperkingen die het werk constant in de weg gaat zitten.

Wat als je bijv een export moet draaien van alle klanten uit een bepaalde regio, kan dat dan ook niet meer?

Teveel haken en ogen, het lijkt me niet heel realistisch.

Wat me ook opvalt is hoe verbolgen iedereen hier over is en mensen zelfs overstappen van provider. En Facebook die al 100x al hun info heeft gelekt geeft men helemaal niks om.
Reageer
Daoka @Marve7917 februari 2026 17:55
Maar in de praktijk is fatsoenlijk patchen al een uitdaging voor veel bedrijven. Laat staan dit soort beperkingen die het werk constant in de weg gaat zitten.
Dus omdat het lastiger is zouden we dingen maar niet moeten doen? Ja natuurlijk zal het dingen in de weg zitten maar helaas is dat meestal met veiligheid. De hele AVG waren voor veel een uitdaging en gaf beperkingen die problemen gaven. Moeten we de AVG ook stoppen dan? Of moeten we accepteren dat AVG met beperkingen komen en problemen veroorzaken?
Wat als je bijv een export moet draaien van alle klanten uit een bepaalde regio, kan dat dan ook niet meer?
Waarschijnlijk praat je dan al over andere afdelingen en niet de afdeling die mensen belt om te zien of je meer wil uitgeven. Die zouden natuurlijk meer rechten kunnen krijgen. Daarnaast valt hier ook dingen voor te regelen. Bijvoorbeeld een manager zal meer mogen zien dus die zou de export kunnen maken. De manager zal dan kunnen inschatten hoe betrouwbaar iemand is en zien wat de reden is van de export dus de kans lijkt ieder geval kleiner dat er misbruik van gemaakt wordt.
Reageer
Ruuuuuubje @Daoka17 februari 2026 19:35
Wat moet een manager inzien of een export voor maken? Dat leg je in de backend en evt toestemming van een manager. Maar een manager zie ik geen analyse uitvoeren op data.
Reageer
GewoonWaarom @Marve7917 februari 2026 19:49
Natuurlijk kan dat wel. Je moet je alleen aan de AVG houden. Als een persoon zo bij de gegevens kan, dan is dat een groot risico. Je kan er dan beter vanuit gaan dat zo'n account gehackt wordt en daar op sturen
Reageer
noes @AceAceAce17 februari 2026 13:44
Throttling/limiting op interne endpoints op basis van abnormaal persoonlijk gebruik (en wat is dan abnormaal), staat haakt op dat alles zo snel mogelijk en zo vaak mogelijk beschikbaar moet zijn.
Daar ben ik het niet mee eens. Max X requests per X tijd per medewerker (evt met incremental backoff) kan nooit heel moeilijk zijn om te bouwen. En als je dat gebouwd hebt zet je er eerst logging op, dan weet je hoeveel toegangsrequests normaal zijn voor een medewerker in een bepaalde rol. Dat stel je in, met een beetje marge en evt een waarschuwing naar security dat men over een limiet heen gaat.

Stel een klantenservice medewerker aan de telefoon. Die moet misschien per gesprek van 1-3 klanten de gegevens opvragen (bijv bij verhuizing of fuseren van abbo zowel oud/nieuw). Misschien dat een ervaren medewerker gemiddeld zo'n 30 klanten per uur kan helpen. Dan heeft die medewerker dus gemiddeld 60 keer toegang tot klantgegevens nodig per uur. Voor (bijv) medewerkers die analyses doen kan je andere rechten instellen dan een callcenter medewerker: zo moeten die vaker klantgegevens kunnen zien, maar hebben weer niet álle gegevens per klant nodig.

Je weet ook dat geen enkele medewerker 24u/dag aan het werk is. Dus als er gedurende 10+ uur requests van die gebruiker binnen blijven komen, is er iets aan de hand. Toegang koppelen aan de ingeplande werktijden is wellicht wat ingewikkeld (verschillende systemen, overwerk/verschoven diensten etc), maar een signaaltje naar een security team na 10+ uur activiteit is niet zo moeilijk.

Met deze twee maatregelen heb je al gigantisch veel risico ingeperkt, zonder dat je een issue hebt in de normale werkzaamheden.

[Reactie gewijzigd door noes op 17 februari 2026 13:45]

Reageer
R4gnax
@noes17 februari 2026 20:06
Je kunt ook een moderne log-in methode gebruiken die leunt op FIDO-compatible authenticatie icm WebAuthn, waarbij je een verbonden authenticator moet hebben die silent token refresh ondersteunt.

Je kunt dan een access token genereren wat slechts kort van duur is, zeg 5~10min, waarna er een refresh token gebruikt moet worden icm de nog verbonden hardware-sleutel om een nieuw access token te verkrijgen. Dat kan voor lage prioriteit verzoeken zonder attestatie van de gebruiker v/d sleutel gebeuren (dus zonder dat deze bijv. opnieuw een knop op de sleutel in moet drukken, een vinger op een afdruksensor moet leggen, een pincode in moet geven, etc.)

Hiermee is het onmogelijk om gephisht te worden en zelfs als een access token gestolen wordt, kun je er na 10min niets meer mee beginnen. En toch houd je e.e.a. voor de eindgebruiker werkbaar.

Als die sessie eenmaal echt verlopen is, dan kan de sleutel ook niet langer silent refresh blijven draaien. Dus medewerkers die weglopen van een systeem en hun sleutel voor langere tijd onbewaakt achter laten zijn ook beschermd.


We zijn echt zo ver gekomen met goede beveiligingsmaatregelen de laatste paar jaren, die binnen bedrijfsomgevingen ook gewoon supergoed laagdrempelig en minimaal-invasief bruikbaar te houden zijn voor eindgebruikers. Maar het wordt allemaal maar nauwelijks toegepast. Waarom niet? Joost mag het weten. Zal wel iets van doen hebben met "wat we hebben werkt toch al?" en het feit dat IT vooral binnen commercie 99% als pure kostenpost gezien wordt waar zoveel mogelijk op gekort moet worden.

[Reactie gewijzigd door R4gnax op 17 februari 2026 20:11]

Reageer
karma4 @AceAceAce17 februari 2026 15:05
In het verhaal wat we lezen zou juist overdreven veel checkpoints moeiheid in alertheid veroorzaakt hebben. Als je honderd keer onterecht geblokkeerd raakt dan staat er een cultuur van doorklikken.
Dan komt de ene echte aanval er tussendoor en .... niet meer te herkennen.
Reageer
Marve79 @karma417 februari 2026 19:58
Idd met MFA zie je die moeheid al. Wij hebben trouwens ook een mailbak waar alle incidenten binnen komen, niemand kijkt daar naar. Zolang er maar niemand piept dat iets niet werkt. Het is gewoon teveel informatie.
Reageer
Lisadr @D.nukem17 februari 2026 12:30
Odido lijkt zijn basis hygiëne op het gebied van security en privacy niet op orde te hebben. Niet vreemd voor dit soort bedrijven, aangezien ze dingen als security en privacy zien als (vervelende) kosten.

Daarnaast vinden grote telecombedrijven bij de wervingsselectie ervaring binnen het bedrijf en ervaring binnen de sector veel belangrijker dan expertise om problemen op te lossen en de volwassenheid te verhogen. Hierdoor zie je vaak dezelfde problemen ontstaan, omdat ze niet leren van andere sectoren. Ik zeg niet dat het laatste zeker het geval was bij Odido, maar het is kenmerkend voor de sector.
Reageer
familyman @Lisadr17 februari 2026 12:36
Weet t wel zeker. Mijn gegevens zijn ook geraakt, terwijl ik al meer dan 10 jaar geen zaken met ze doe.
Reageer
all_by_myself @familyman17 februari 2026 12:51
.... maar dan zijn in ieder geval niet je paspoortgegevens bruikbaar.. Dat scheelt dan weer.
Reageer
DrPoncho @all_by_myself17 februari 2026 13:01
Dat dan weer wel, dat dan weer wel. Ja daar moeten we toch eerlijk over wezen
Reageer
Echnon @familyman17 februari 2026 13:03
Ik denk dat vooral dit excessief bewaren een staartje gaat krijgen. Ik zat ook ooit bij Ben. Dat email adres heb ik niet meer dus nog geen melding. Bij mij zou het om 15+ jaar geleden gaan.

Als de AP z'n werk zou doen zou Odido hier een boete van 4% van de jaaromzet voor moeten krijgen.
Reageer
MAD_Sofia @familyman17 februari 2026 14:07
Bij mij ook, precies langer dan 2 jaar weg.. ..pats boem, paspoort op straat.. en als ik zelf inlog bij Odido, kan ik niets inzien van mijn eigen gegevens..
Reageer
familyman @MAD_Sofia17 februari 2026 14:13
2 jaar kan nog. 7 jaar is nodig voor belasting.
Reageer
MSalters @familyman17 februari 2026 14:52
Te simpel. Albert Heijn weet überhaupt niet wie hun klanten waren. Dat is voor de belasting namelijk niet nodig. Niet 7 jaar en zelfs geen 7 minuten.

Albert heijn weet natuurlijk wel wie de werknemers waren, want dat is dan wel weer nodig voor de belasting.
Reageer
familyman @MSalters17 februari 2026 15:25
Ach, het is de wet.

Albert heijn weet ook namen en rekeningnummers voor pinbetalingen en moet deze 7 jaar vasthouden.
Reageer
MSalters @familyman17 februari 2026 16:27
Ik heb even in de ING voorwaarden gekeken (weet niet waar de AH bankiert). Die zijn expliciet in het verbod. Deze gegevens mag je niet bewaren.

Er is een wet die zegt dat je je debiteuren administratie 7 jaar moet bewaren, maar een pinbetaler is geen debiteur.
Reageer
familyman @MSalters17 februari 2026 16:33
Het gaat niet om bankieren, maar om administratie plicht.

Pinbetalingen staan op afschriften. Die moeten bedrijven 7 jaar bewaren.
Reageer
MSalters @familyman17 februari 2026 16:53
Een pinbetaling afschrift bevat persoonsgegevens van de klant, maar geen BTW regels. Daarom is er een AVG verbod en is er geen BTW verplichting.

(Je moet wel de kassabon 7 jaar bewaren, want daar staan wel belastinggegevens op)
Reageer
CasualKnaller @familyman17 februari 2026 20:06
Volgens mij moeten conform AVG de gegevens verwijderd worden na 2 jaar beeindiging relatie. Bij mijn partner viel het net binnen die termijn. Haar gegevens.zijn gelekt.
Reageer
Devian @Lisadr17 februari 2026 13:39
Wat is die basis hygiene dan? Hoe ziet dat eruit?
Reageer
moonlander @Lisadr17 februari 2026 13:07
aangezien ze dingen als security en privacy zien als (vervelende) kosten.
Dat is een aanname die jij doet.
Reageer
CH4OS
@moonlander17 februari 2026 13:44
Elk bedrijf zal altijd het minimale doen om te voldoen aan de Wet, want dat is het goedkoopste. Zo simpel is het. Kun je van zeggen dat het een aanname is, maar je weet zelf ook wel dat een bedrijf er alles aan gelegen is om zoveel als mogelijk winst te maken. Bij het bedrijf waar ik werk nemen we beveiliging ook serieus, doen daar ook heus wel wat mee, maar we doen wel het minimale dat van ons verwacht wordt. Meer is extra kosten die niet nodig zijn en dus ook niet gemaakt worden.
Reageer
divvid @CH4OS17 februari 2026 14:09
Meer is extra kosten die niet nodig zijn en dus ook niet gemaakt worden.
totdat......

dan ben je erg blij dat je die kosten wél gemaakt hebt, omdat de gevolg schade vele malen groter is dan de kosten. In mijn vorige werk was men daar wél mee bezig. Een, volgens managers, overbodige redundantie. Todat....er een enorme wateroverlast was en een server ruimte, ondanks maatregelen, toch onder liep.

Wat waren we blij met de redundantie. Het bedrijf kon doordraaien en intussen de boel opruimen. Mocht het bedrijf niet hebben kunnen doordraaien, dan had dit ongeveer 3mln PER WEEK gekost. de redundante oplossing kostte ongeveer 6 ton, een schijntje dus.

les: wat je wettelijk minimaal moet doen is niet altijd de beste strategie.

[Reactie gewijzigd door divvid op 17 februari 2026 14:09]

Reageer
CH4OS
@divvid17 februari 2026 14:21
En hoe groot is de kans dat een serverruimte onderloopt en wat heeft dat met databeveiliging te maken? :?
Ik zou dan eerder vraagtekens zetten waarom een serverruimte überhaupt op die plek moe(s)t komen, ipv te investeren in redundantie.

[Reactie gewijzigd door CH4OS op 17 februari 2026 15:14]

Reageer
MSalters @CH4OS17 februari 2026 14:56
Data beveiliging valt onder Availability - zorgen dat data voor de juiste mensen beschikbaar is. Server ruimtes die onder lopen gaan ten koste van Availability.

Denial of Service is dus ook een Security risico omdat het de Availability hindert.
Reageer
XelaRetak @Lisadr17 februari 2026 13:03
Niet alleen (vervelende) kosten, maar het succesvol implementeren van een DLP oplossing is ook een bijzonder tijdrovende en ingrijpende klus.
Reageer
karma4 @Lisadr17 februari 2026 15:07
Annanames zonder onderbouwing je helpt de black hatters en niet de gedegen volwassenheid.
Het is kenmerkend in ICT veel buzz , ophef en weinig echte inhoud
Reageer
CH4OS
@karma417 februari 2026 15:15
De beste stuurlui staan altijd aan wal. ;)
Reageer
Nyarlathotep @D.nukem17 februari 2026 12:31
Dat krijg je dus als je dit soort accounts niet verder dicht zet. In dit geval kun je dus zien dat wachtwoorden van de betreffende accounts een te lange geldigheid hebben. Een one time password voor dit soort accounts zou veiliger zijn. Eventueel een OTP. En een beperking op van welke machines je met dit account kan aanloggen.
Dit valt allemaal onder Priviliged Access Management, en het lijkt er op dat dit bij Odido niet of onvoldoende goed is ingericht.

Maar eens te meer wordt keihard duidelijk dat in het hele toegangsproces de mens nog altijd de zwakste schakel is.
Reageer
SirLenncelot @Nyarlathotep17 februari 2026 12:54
Alles aan elkaar geknoopt middels SSO zeker dus dan hoeft men maar 1 inlog te social engineeren om toegang te hebben.

Wat ik veel opvallender vind is dat met zo'n inlog blijkbaar ook de download van miljoenen gegevens opgezet kan worden. Dan lijkt het toch alsof ze een inlog hebben weten te bemachtigen van een admin of beheerder die verregaande rechten in systemen heeft.
Reageer
THM0 @SirLenncelot17 februari 2026 13:14
Of gewoon nul aandacht voor risico mitigatie en ‘defense in depth’.
Reageer
karma4 @Nyarlathotep17 februari 2026 15:10
Service deskmedewerkers normaal gangbaar werk met klanten, wat heb ik gemist?
Nee een OTP vor privileged accounts werkt niet ze hadden het toch met MFA afgescherm?
Lijkt eerder een overdaad aan MFA requests zodat de actie en herkomst niet meer duidelijk is.
Reageer
mjtdevries @karma417 februari 2026 18:12
Nee, geen overdaad aan MFA requests. Social engineering zodat medewerkers de MFA requests goedkeurden.
Reageer
DealExtreme2 @D.nukem17 februari 2026 12:52
Waarom moet een medewerker die gegevens uberhaupt zien? Zoals paspoortnummer en rekeningnummer? Of de klant zegt; klopt dat van dit rekeningnummer wordt afgeschreven? Medewerker voert in en krijg terug ja of nee. Of de medewerker kan het rekeningnummer veranderen. Maar waarom zou een medewerker het moeten zien? Van iedereen? In een lijst?

Totaal onnodig. En eigenlijk net zo met andere persoonsgegevens. Los nog van logging en scraping (wat dan niet meer echt kant).
Reageer
Mathijs Kok @DealExtreme217 februari 2026 13:23
Waarom moet een medewerker die gegevens uberhaupt zien?
Omdat de hackers zo slim waren om een account van een databeheerder te hacken? Natuurlijk heb je in een systeem accounts die alles kunnen zien; ware dat niet zo, had je de data niet nodig. Daarnaast worden paspoortnummer en rekeningnummer telefonisch regelmatig gebruikt ter legitimatie.
Reageer
DealExtreme2 @Mathijs Kok17 februari 2026 13:52
Voor legitimatie hoef je het dus NIET te zien. Dat is de denkfout die wellicht daar ook is gemaakt. De klant zegt iets, de medewerker toetst het in en krijgt rood of groen(en evt het nummer).

Dus nee, er zijn slechts heel weinig, if any, medewerkers die die data echt hoeven te zien. Ze moeten het wel kunnen controleren, maar dat is iets anders - dan voer je in de laatste 6 cijfers van wat je wil controleren (bijv.) en krijg je het te zien als het matcht. En zo niet, dan kun je het wijzigen naar wat je wil.
Reageer
TechSupreme @D.nukem17 februari 2026 12:57
Odido heeft ook zelf toegegeven dat als de hackers alle gegevens een voor een hadden gedownload, het dan was opgevallen.

Het gaat of om een bestand (export) of wat Odido zegt is dat ze de gegevens van enkele klanten hebben ingezien en daar screenshots hebben gemaakt voor ze eruit zijn getrapt. Volgens mij weet Odido op dit moment zelf nog niet wat de omvang is, of ze weten het maar willen het niet exact uitleggen.
Reageer
evilhomer87 @D.nukem17 februari 2026 14:13
inderdaad heel bijzonder.
Stel je kan maar 40 pulls uit de database halen per uur was de schade veel lager.
Reageer
karma4 @D.nukem17 februari 2026 15:02
Dit is de contradictie in het gehele gebeuren. Aannames van een incident response externe partij dan wel FG die beweert dat als een enkel iets onterecht ingezien is het meteen voor alles moet gelden.

En nee een onbetrouwbare medewerker is niet van te voren vast te stellen. Als we weten dat ze bestaan moet in dezelfde redenering aangehouden worden dat allen medewerkers onbetrouwbaar zijn.
Het wonderlijke met de AVG uitleg van de AP is dat ze beide veronderstellingen gelijk waar en onwaar aanmerken zoals het in de ophef even uitkomt. Dat is geen goede basis voor iets werkbaars nog voor recht.
Reageer
Dirk-Jan @D.nukem17 februari 2026 18:43
Disclaimer: Ik kan niet garanderen dat het onderstaande ook bij Odido het geval was.

Bij de meeste Salesforce implementaties kunnen (veel/alle) gebruikers via een simple chrome plugin rechtstreeks de database queryen. Deze plugin "Salesforce inspector reloaded" maakt gebruik van standard Salesforce api's en omzijlt de UI beperkingen volledig. Je trekt binnen een minuutje volledige data-tabellen uit zo'n system, en tenzij een bedrijf voor een dure event monitoring feature betaalt kan je niet eens zien dat dit gebeurd.

Dit is te managen wanneer:
  • Er geen andere user level api's noodzakelijk zijn. (Api's volledig voor users uitschakelen)
  • Er Salesforce shield (event monitoring) als extra optionele feature bij Salesforce wordt ingekocht (duur en niet door een gemiddelde admin in te richten)
Door de beperkingen en/of tijd & kosten die het kost doen nagenoeg alle (small / medium) bedrijven hier er niets tegen. Bij grotere bedrijven is hier net iets vaker wel wat tegen gedaan maar lang niet altijd.

[Reactie gewijzigd door Dirk-Jan op 17 februari 2026 21:22]

Reageer
R4gnax
@Dirk-Jan17 februari 2026 20:16
Wacht even - ga je nou vertellen dat de basis van Salesforce dus feitelijk altijd volledig open staat?
En enkel de UI die in de browser draait (en dus uiterst hackbaar en omzeilbaar is) de enige vorm van authorisatie-niveau's en segregatie in toegang is?

Als dat echt zo is dan...
holy shit- wat een waardeloos stuk broddelwerk.

[Reactie gewijzigd door R4gnax op 17 februari 2026 20:17]

Reageer
Dirk-Jan @R4gnax17 februari 2026 21:07
Een goed geconfigureerde Salesforce omgeving is vergelijkbaar met een bank waarbij elke gebruiker niet meer kan zien & behandelen dan strikt noodzakelijk. (vergelijkbaar met een "bank teller") Het is een applicatie met vele lagen van authorisatie, zoals: (maar niet beperkt tot)

Op database niveau: (inclusief, maar niet beperkt tot)
  • Object rechten (data tabel)
  • Record types binnen datatabel
  • Veld rechten (welke velden wil je wel of niet zichtbaar/aanpasbaar hebben voor rol x)
  • Specifieke record ownership rechten (met hyrarchieen, uitzonderingen, etc)
  • Record toegang op basis van specifieke veld waardes als je bereid bent creatief te worden.
UI Niveau:
Naast deze rechten op database niveau kan het op UI niveau ook nog verder beperkt worden met eindeloos te specificeren filters.

API Niveau:
Je kan managen wie wel of niet API connecties mag aangaan & more.

Event Monitoring:
Je kan elke click, pageview, login, & query monitoren en aan de hand van criteria rapporteren of zelfs dynamisch blokkeren

Maar:
De meeste bedrijven willen niet tijd (geld) investeren in het goed opzetten van de security, waardoor deze omgevingen in het gros van de gevallen zeer kwetsbaar zijn voor misbruik.

In mijn hypothetische voorbeeld:
Als user: API Enabled = true & User heeft Read all op alle klantdata
Monitoring: N/A
Resultaat: Volledige klantenbestand gedownload in 5 min zonder dat iemand het door heeft. (misschien 10 min bij de aantallen van Odido)
Reageer
mphilipp @D.nukem17 februari 2026 18:46
Je hebt niet eens een scrape beveiliging nodig als je ervoor zorgt dat alleen de diefstal van credentials niet genoeg is. Je kunt er ook voor zorgen dat alleen devices die compliant zijn op het netwerk kunnen komen, en dan ook nog via een VPN verbonden zijn. Dan heb je een forse extra barriere opgeworpen en voorkom je dat zomaar iemand vanaf een zolderkamer op je netwerk komt. Ook al heeft ie 2FA, wachtwoorden etc.

Kost wat geld en moeite, maar zo zorg je wel wat beter voor je kostbare klantdata.
Reageer
maxkranendijk @D.nukem17 februari 2026 19:42
Je verwacht iemand bv maximaal 50 klantengegevens per uur kan bekijken. Lijkt me heel als zoiets niet ingebouwd zou zijn. Dan is dat (on)bewust gedaan om het proces simpel/goedkoop te houden en een keuze van het bedrijf.


Niet leuk voor Odido en de getroffen klanten, maar wel een goede les voor andere bedrijven om dit goed in te regelen. Hopelijk volgt er dan ook een boete en als is het maar een kleine compensatie voor de getroffen klanten. Het gaat toch ook om een signaal af te geven in Nederland dat je je beveiliging en processen op orde moet hebben.
Reageer
Wouterie 17 februari 2026 12:27
Handig weer. Er wordt door iedereen en aan alle kanten gezegd dat 'jouw persoonlijke gegevens' waardevol zijn en dat er alles aan gedaan moet worden om het veilig te bewaren... Maar in de praktijk zijn de regels onduidelijk (waarom zijn er geen keiharde regels over bewaartermijnen?) is de aansprakelijkheid onduidelijk, is de definitie van schade onduidelijk, is het überhaupt onduidelijk of er gevolgen zijn verbonden aan een datalek... Wat moet een mens hier nou mee?

ALS Odido nou voldoet aan de wet- en regelgeving en de mensen tijdig heeft heeft gewaarschuwd en de noodzakelijke maatregelen heeft getroffen etc, dan kunnen ze er verder ook niet zo gek veel meer aan doen. Maar als blijkt dat ze toch ergens nalatig of te makkelijk zijn geweest, dan moeten daar wel gevolgen aan verbonden kunnen worden en niet alleen wanneer iemand aantoonbaar schade heeft geleden.

Men is immers in dat geval onzorgvuldig met de gegevens van (ex)klanten omgegaan en dat mag niet alleen maar het probleem zijn van de mensen die het betreft, maar ook van het bedrijf wat zorgvuldig met die data om zou moeten gaan.

Compensatie zou niet alleen over schade moeten gaan, maar ook over vertrouwen. Als blijkt dat Odido/Ben niet voldaan hebben aan de mooie beloften en toezeggingen, dan is het vertrouwen beschaamd. Wat is dat waard? Hoeft niet per se in keiharde Euro's maar laat maar zien Odido.
Reageer
CAPSLOCK2000
@Wouterie17 februari 2026 12:51
Ik denk dat we het vooral heel zakelijk moeten aanpakken, oftewel wel met keiharde euro's. Vertrouwen klinkt mooi maar is uiteindelijk vooral een gevoel als het niet op een of andere manier gegarandeerd wordt. Vrijwel alle vragen zoals hoe dit heeft kunnen gebeuren, waarom Odido deze heeft, waarom er niet meer maatregelen zijn genomen etc komen er uiteindelijk op neer dat dit financieel gezien de beste keuze is (of leek).
Odido achteraf straffen is niet echt een goede oplossing, de data is al weg en Odido is ook slachtoffer. We kunnen beter zorgen dat het vooraf financieel gunstig is om extreem voorzichtig met data om te gaan. Ik pleit wel eens voor een soort databelasting of verzekering waarbij bedrijven moeten betalen voor iedere bit persoonlijke informatie die ze bewaren. Dat geeft een directe financiele prikkel om zo min mogelijk data te bewaren. Daarnaast kunnen we het geld gebruiken om slachtoffers te compenseren zonder ingewikkelde rechtszaken om schade aan te tonen.
Reageer
Standeman @CAPSLOCK200017 februari 2026 14:03
Niet alleen zo min mogelijk, maar zeker ook zo kort mogelijk!

Zodra er verificatie van het BSN/ID-bewijs/CC is afgerond, kan je alle data gelijk naar /dev/null sturen. Natuurlijk moet je sommige data vanwege de Belastingdienst c.q. wetgeving bewaren, dus die gegevens zou je kunnen uitsluiten.

Met een beetje mazzel draaien we dan gelijk het verdienmodel van sociale media de nek om }>
Reageer
Wouterie @CAPSLOCK200017 februari 2026 14:32
Helemaal mee eens. Stel nou dat we de persoonlijke data van Nederlandse staatsburgers bestempelen tot staatseigendom? Dan hoeft niet iedere burger achter dit soort bedrijven aan te gaan, maar gaat de Staat zich ermee bemoeien.

Aan de andere kant heb ik niet zo'n hoge pet op van het doortastend vermogen van de Staat.
Reageer
Immutable @CAPSLOCK200017 februari 2026 20:14
Gewoon Odido mag geen zaken meer doen. Totdat ze hun zaakjes TIP TOP op orde hebben. Elke request naar de data base moet extreeeeem gemonitord worden. Doe je als enkele medewerker een enkele request naar een enkele persoon. Prima. Doet jou script bij Odido een klant brede request -> Moeten meerdere mensen het goedkeuren.

Er moet een GIGANTISCHE grote muur om die database gebouwd worden. Extreme vorm van white listing gemaakt worden.

En zolang ze dat niet hebben: Mogen ze geen zaken meer doen.
Reageer
Boefmans @Wouterie17 februari 2026 12:56
Dat vertrouwen is veel waard. Open deur maar toch, benieuwd hoeveel klanten al zijn overgestapt.
Reageer
Wouterie @Boefmans17 februari 2026 14:33
Tja, ik denk dat Odido dit wel gaat voelen... Maar is het een rede om het contract te ontbinden?
Reageer
Pilovali @Wouterie17 februari 2026 15:18
Nee, dan zou je moeten afkopen. Of niet vast zitten aan een contract.
Reageer
targaryanwolf @Wouterie17 februari 2026 15:45
Waarom? het is nu toch al te laat. Je kunt overstappen naar de concurrent, laat jij ze dan eerst contractueel beloven dat er bij hun geen datalek zal plaatsvinden?
Reageer
Boefmans @targaryanwolf17 februari 2026 17:00
Ik ga niet overstappen l, lijkt mij idd weinig zin hebben. Het is alleen wel iets wat veel mensen nu doen.
Reageer
Immutable @Wouterie17 februari 2026 20:15
Helaas niet, want ze hebben hun beursgang nu afgezegd. Eigenlijk moeten ze VERPLICHT nu naar de beurs. Juist om dat extra hard te voelen.
Reageer
Wouterie @Immutable17 februari 2026 20:18
Hun reputatie is wel naar de maan. Het hangt er nog een beetje om hoe nalatig ze echt zijn geweest.
Reageer
Immutable @Boefmans17 februari 2026 20:14
Ik gaat naar KPN.
Reageer
PjotrX @Wouterie17 februari 2026 14:36
Je kan niet dezelfde regels opstellen voor alle bedrijfen, het is heel erg maatwerk. En als je gaat proberen om alles in categorieën te verdelen dan blijf je maar bezig. Het is aan AP om in te springen als bedrijfen zichzelf te makkelijk maken met bijvoorbeeld de bewaartermijnen, en dat is in het verleden ook wel gebuurt. En het is ook aan de AP om in te springen als bedrijven dan hun eigen regels overschrijven. Dat inspringen kan ook gewoon in keiharde euro's gaan.
Reageer
Boefmans @PjotrX17 februari 2026 17:05
Waarom niet? Zie post hieronder. Maak een tabel met een boete per gelekt datadeel en combi is fors duurder. Zoals vliegtuigmaatschappijen dat ook hebben.
De kosten en baten afweging voor veel bedrijven is gewoon duidelijk: we doen beetje netjes met de data maar niet echt dichttimmeren..overheid gaat er ook lekker mee om trouwens.


(DigiD naar usa Joepie)
Reageer
MSalters @Wouterie17 februari 2026 15:07
Sorry maar dit verhaal rammelt nog meer dan de data beveiliging van Odido.

Om een voorbeeld te nemen van de onzin: "Compensatie zou niet over de schade moeten gaan". Huh? Compensatie voor geleden schade zou niet over de schade moeten gaan? Dat is letterlijk het enige waar dat over gaat. Dat is de exacte betekenis van het woord. Als je zelfs dat weghaalt dan blijft er niets over.

Zijn de regels onduidelijk? Ik snap dat niet iedereen de vaardigheden bezit om Functionaris Gegevensbescherming te zijn. Maar goed, niet iedereen heeft de vaardigheden om dokter te zijn. Sommige dingen zijn nu eenmaal moeilijk.

Is de definitie van schade onduidelijk? We hebben meer dan een eeuw aan jurisprudentie. Elke rechtenstudent leert erover. Als je het nu over bewijs had, soit, dan kan onduidelijk zijn. De definitie is het niet.
Reageer
Wouterie @MSalters17 februari 2026 17:07
Een gangbare uitleg van compensatie is: het aanvullen van iets ongunstigs met iets goeds. Het woord schade is niet gekoppeld aan compensatie en visa versa. Heb jij nog meer onzin toe te voegen?
Reageer
Tegengeluidjes 17 februari 2026 12:23
Persoonsgegevens van miljoenen klanten liggen op straat. Gevoelige data, waaronder NAW-gegevens, geboortedata, IBAN en in sommige gevallen zelfs legitimatiegegevens. Dat risico ligt volledig bij de klant: identiteitsfraude, phishing, financiële schade, terwijl de oorzaak evident bij de Odido ligt.

Resultaat:

• Data gelekt → risico bij klant
• Schade aantonen → taak van klant
• Causaal verband bewijzen → taak van klant

Terwijl de klant geen enkele invloed heeft gehad op bewaartermijnen, beveiligingsniveau of interne processen. Formeel juridisch zal het wel allemaal kloppen, maar voelt als een scheve verdeling van lasten en risico's.
Reageer
HoppyF @Tegengeluidjes17 februari 2026 14:45
Inderdaad.
De problemen op de klant afschuiven is ook juridisch gezien onjuist.
Leg het probleem waar het hoort bij Odido.
Laat Odido maar bewijzen dat de klantgegevens NIET misbruikt kunnen worden.
De klant schade laten bewijzen is de omgekeerde wereld.
Bij hacken IS er schade tenzij.
Reageer
MSalters @HoppyF17 februari 2026 15:13
Geloof me, na de Box3 ellende is er in Den Haag 0 belangstelling voor dit soort juridische luchtfietserij. Er komt echt geen Nederlandse wet die stelt dat de aangeklaagde partij in een civiele zaak de geclaimde schade moet weerleggen. Dat eindigt met een succesvol beroep op Europees recht, en als Den Haag dat toch probeert dan kost dat ze miljarden. D
Reageer
HoppyF @MSalters17 februari 2026 15:21
Of politiek Den Haag wat doet zal me een worst zijn.
Gaat om de ontstane schade en die is er.
Je ziet nu al grote commotie landelijk om deze hack. Het is niet alleen hier op Tweakers.
Ik hoop dat er een advocaat opstaat die op basis van no-cure-no-pay gaat procederen.
Het gaat mij niet eens om het schadebedrag al was het maar €1.
Het gaat er vooral om hoe grote bedrijven als Odido ermee omgaan.
Odido zal immers niet het laatste bedrijf zijn wat klantengegevens heeft laten lekken.
Dat Odido in de slachtofferrol dreigt te kruipen is al helemaal niet prettig.
Reageer
MSalters @HoppyF17 februari 2026 16:31
Ik zal nog wat duidelijker zijn dan. Den Haag zou actie moeten ondernemen omdat jouw idee momenteel kansloos is.


Geen advocaat zal een kansloze zaak beginnen op no-pay basis. (De no-cure is namelijk gegarandeerd)
Reageer
computerjunky @Tegengeluidjes17 februari 2026 14:07
Als mensen nu nog in phishing en shit trappen na 30 jaar moeten we ons toch eens gaan afvragen of er niet en online certificate moet komen waarna je pas informatie mag verwerken online en een rank 2 waarna je financiële zaken mag afhandelen online.
Met deze informatie kunnen ze namelijk helemaal niets tenzij je zelf ongelooflijk naïef of onwetend ben.

Ik maak me er niet eens zorgen om want ik weet dat ik al die spam en dergelijke gewoon links laat liggen. als ik geen mail verwacht open ik het niet eens. Mail mag van mij vervangen worden voor iets anders want het is 95% spam 4,9% mails die ik eigenlijk niet wil ontvangen en 0.1% mails die ik zelf veroorzaak.

Uiteindelijk liggen al deze gegevens van mensen al tig keer op straat als je even haveibinpawned bekijkt. Als je zelf niet als een blinde kip op linkjes gaat klikken gebeurt er niets.
Reageer
Boefmans @computerjunky17 februari 2026 17:03
Ik denk dat de discussie daar dus ook niet over gaat.

We hebben regels afgesproken..grote bedrijven hebben data van ons en moeten daar adequaat mee omgaan.
Dat doen ze niet.
Want aantonen van schade is vrijwel onmogelijk en de handhavers handhaven niet. Dus het risico nemen dat dit gebeurd lijkt goedkoper dan de boel goed dichttimmeren.
Een feitelijke vergoeding voor data die op straat komt zou best een sterk middel kunnen zijn.

Enkel naam? 1 euro. Adres: 3 euro. Combi van beiden: 6 euro. Weet ik veel, Bedenk iets.
Reageer
Mektheb @Tegengeluidjes17 februari 2026 14:34
Klopt bizar, daarom ook alles weggehaald bij deze Club, druppel ja
Reageer
jigalvh @Tegengeluidjes17 februari 2026 19:33
En als bonus komt het bedrijf met een vage melding over het datalek. Kenmerken:
  • Opsommen wat er mogelijk gelekt is (dus moet de klant zelf uitzoeken of dat daadwerkelijk is gelekt)
  • Nadrukkelijk vertellen wat er voor belangrijke gegevens niet zijn gelekt
  • Benadrukken hoe belangrijk ze beveiliging vinden
  • Heeeel uitgebreid vertellen wat de klant allemaal kan doen om de gevolgen te beperken
Tsja, dan mis je heleboel: geen excuses, geen hulp aanbieden, geen aankondiging voor vervolg hoe het probleem opgelost gaat worden, enzovoort.
Reageer
AJediIAm @Tegengeluidjes17 februari 2026 20:17
  • Privacy wetgeving volgen -> Odido
  • AVG boete betalen -> Odido
Er zijn consequenties voor zowel Odido als de klant. Ik begrijp niet waar mensen het idee vandaan halen dat Odido hier zomaar mee weg komt. Mijn indruk ik dat mensen voornamelijk op geld/compensatie uit zijn en geen waarde hechten aan het Nederlands rechtssysteem.
Reageer
Floort 17 februari 2026 12:24
Ik merk dat het artikel er een beetje omheen schrijft. Maar ik zal het wat explicieter maken, om te beginnen met artikel 82(1) van de AVG:
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
Dat heeft drie belangrijke elementen:
  1. De "inbreuk op deze verordening". Dat wil zeggen een overtreding. Niet het slachtoffer zijn van hackers. Een concrete overtreding. Ik lees speculatie over nalatigheid en bewaartermijnen. Maar dit moet concreet gemaakt worden.
  2. De "ten gevolge van". Dat wil zeggen dat je causaliteit moet aantonen. Dat is vaak lastig, maar de praktijk zal vooral afhangen van wat precies de overtreding is geweest en hoe de schade is ontstaan. In de praktijk zal je bovendien waarschijnlijk zien dat er meerdere gezamelijke oorzaken zijndie je samen zult moeten beoordelen.
  3. De "materiële of immateriële schade". Dat wordt volgens mij al duidelijk benoemd in het artikel, maar ik wilde volledig zijn in mijn opsomming.
Ik heb het gevoel dat die schade er misschien wel is, maar dat de wens om een schadevergoeding te krijgen betekent dat mensen gaan terugredeneren of er misschien ook sprake is geweest van een overtreding. En ook erger: ik heb voorbeelden gezien van mensen die de overtreding volledig overslaan en meteen al mensen aanmoedigen om schadevergoedingen te claimen. Dat is voorzichtig gezegd niet de meest zorgvuldige aanpak.

De voorspelling dat de AP hiermee misschien wat gaat doen is wel wat simpel. In 2024 (meest recente publieke data) heeft de AP bij 11.024 meldingen verdiepend toezicht gehouden (vervolgvragen gesteld). Daarvan is er over nul meldingen een publiek besluit genomen. Dat is dus ook niet bruikbaar om schadeclaims in te dienen. Ook is het strategisch voor de AP en voor de naleving van de meldplicht niet handig als de AP streng toezicht houdt op degenen die wel netjes melden zolang ze dat niet doen bij degenen die niet melden. Ik hoop dan ook van harte dat de AP prioriteit geeft aan de datalekken die men onder de pet probeert te houden. Maar dat is geen garantie, want historisch gezien is de AP wel strenger geweest op melders. De voorspelling in het artikel is echter wel wat kort door de bocht.

Edit: Ik lees her en der ook wel wat onvrede over de communicatie bij Odido en ik weet niet wat de specifieke overwegingen zijn bij Odido, maar: Ik zie tegelijkertijd mensen vragen om transparantie die verder gaat dan wat minimaal wettelijk verplicht is en ook mensen die opjutten om alle beetjes informatie gebruiken als aanleiding om mensen aan te moedigen om schadeclaims te starten. Ik denk dat het belangrijk is om te beseffen dat de roep om schadeclaims de risico's als gevolg van transparantie enorm vergroot. De houding richting Odido kan Odido en ook anderen ontmoedigen om transparant te zijn en sommige verwerkingsverantwoordelijken kunnen zelfs hierdoor besluiten om (waarschijnlijk onrechtmatig) de AP en betrokkenen helemaal niet meer te informeren. Mijn zorg is dat de ophef nu misschien schadelijker is dan de mogelijke positieve effecten van schadevergoedingen op de beveiliging.

[Reactie gewijzigd door Floort op 17 februari 2026 14:25]

Reageer
jigalvh @Floort17 februari 2026 20:42
Ik merk dat het artikel er een beetje omheen schrijft. Maar ik zal het wat explicieter maken, om te beginnen met artikel 82(1) van de AVG:
Juridisch gezien klopt dit allemaal vast wel. Er is ook nog zoiets als de geest van de wet. De AVG/GDPR heeft als doel om de privacy van personen en persoonsgegevens te beschermen. Er staan allemaal regels in over dat bedrijven/organisaties zo min mogelijk moeten vastleggen, voor zo kort mogelijke termijn en ook voorzichtig moeten omgaan met die data.

Het is dan zuur om te zien hoe nonchalant de bedrijven met die gegevens omgaan.
Ik heb het gevoel dat die schade er misschien wel is, maar dat de wens om een schadevergoeding te krijgen betekent dat mensen gaan terugredeneren of er misschien ook sprake is geweest van een overtreding.
Als het belangrijk is om die persoonsgegevens te beschermen (en die wet is ervoor om dat te doen) dan is er automatisch schade als de bescherming heeft gefaald. Die schade bestaat niet uit geld dat afhandig is gemaakt of iets dat gedaan is met identiteitsfraude, maar zuiver door het feit dat dingen die beschermd moeten worden in de handen van anderen zijn gekomen.
De voorspelling dat de AP hiermee misschien wat gaat doen is wel wat simpel.
Volgens de website van de AP: "De AP houdt toezicht op de naleving van de privacywetgeving." en moet "Handhavend optreden als de AP tijdens het onderzoek overtredingen constateert."

De praktijk is weerbarstiger omdat onze overheid er simpelweg te weinig geld voor uittrekt. Maar in beginsel is een taak van de AP om het te onderzoeken en handhavend op te treden.
Ik denk dat het belangrijk is om te beseffen dat de roep om schadeclaims de risico's als gevolg van transparantie enorm vergroot. De houding richting Odido kan Odido en ook anderen ontmoedigen om transparant te zijn en sommige verwerkingsverantwoordelijken kunnen zelfs hierdoor besluiten om (waarschijnlijk onrechtmatig) de AP en betrokkenen helemaal niet meer te informeren.
De omgekeerde wereld. Tot nu toe zijn alle reacties die ik gezien heb van bedrijven waar een datalek is opgetreden zeer minimalistisch geweest. Het lijkt wel of ze van iemand een sjabloon krijgen om het bericht te bagatelliseren en vooral te laten zien hoe goed ze het voor hebben met hun klanten.

Het bedrijf heeft persoonsgegevens niet voldoende beschermd. Dat is een overtreding in mijn ogen. Het bedrijf is verplicht om klanten te informeren. Het is niet zo dat het bedrijf in ruil hiervoor geen gevolgen hoeft te ondervinden!

Ik heb het idee dat de slachtoffers van de datalekken in de eerste plaats een schadevergoeding willen vragen als bestraffing voor het bedrijf. Daar zou de AP een rol in kunnen spelen.

En ja, het kan ook anders bij bedrijven/organisaties. Kijk eens naar het probleem dat er bij de TU Eindhoven was. Iemand had VPN toegangsgegevens bemachtigd. De bewakingssoftware zag onverwachte activiteiten. Een team kwam samen en heeft direct het hele netwerk platgelegd. Pas als men zeker wist dat er geen inbreuk was geweest werden delen weer opgestart. Het resultaat: enkele dagen minder functionaliteit beschikbaar maar nul schade aan data.
Reageer
Naafkap 17 februari 2026 12:06
Ik blijf erbij dat ik het onbestaanbaar vind als Odido geen enkele verantwoordelijkheid neemt voor klanten die schade ondervinden of gaan ondervinden. De bewijslast ligt kennelijk bij de consument. Hoe moet je als consument bewijzen dat schade is ontstaan door het datalek? Dat is niet te doen. De consument wordt dan ernstig gedupeerd met mogelijk zeer grote gevolgen.


Het wordt mijns inziens hoog tijd dat hier wat aan gaat veranderen. Voor Odido is er nauwelijks risico en dus geen enkele prikkel om veiligheid serieus te nemen en daar fors in te investeren.


Zeer kwalijk allemaal.
Reageer
fruitbakje @Naafkap17 februari 2026 12:33
De bewijslast ligt kennelijk bij de consument aanklager Hoe moet je als consument bewijzen dat schade is ontstaan door het datalek? Dat is niet te doen. De consument wordt dan ernstig gedupeerd met mogelijk zeer grote gevolgen.
Hoe wil je het juridisch anders aanpakken? Als iemand schade heeft vanwege identiteitsfraude, per definitie Odido als de schuldige aanwijzen omdat die ooit gegevens heeft gelekt? Zo van, als je iemand dood ziet liggen, dan is de dichtstbijzijnde andere persoon per definitie de moordenaar omdat die in de buurt is...?

Godzijdank moet je als klagende partij eerst bewijs leveren. Als het andersom is, en iedereen kan iedereen aanklagen en de verdedigende partij moet zichzelf maar vrij zien te pleiten, dan wordt het toch een chaos lijkt me...

En tsjah, dat het in dit geval lastig aan te tonen is, dat kan Odido zelf ook niet eens veranderen. En laten we eerlijk zijn, er zijn al zoveel persoonsgegevens gelekt, hoe weet jijzelf nou eigenlijk zeker dat het door de gelekte gegevens van Odido kwam?
Reageer
Boefmans @fruitbakje17 februari 2026 12:59
Vergelijk het met de luchtvaart. Als je vlucht langer dan ... vertraagd is (etc) dan krijg je ... geld (of iig recht op). Daarmee haal je de bewijslast van geleden schade weg. Maw, wetgeving hierop zou kunnen helpen. Ik denk dat de prikkel 'geld' wel goed werkt voor dit soort bedrijven. Stel de wet zou zeggen: bij een datalek waarbij (alles wat nu gelekt is) kost het dit, bij een datalek van dat kost het zus etc.
ALs dit een 10tje per klant zou zijn, gaat het al om 60miljoen. (ik denk dat ze nu een paar miljoen schade hebben overigens)
Reageer
fruitbakje @Boefmans17 februari 2026 13:13
Ja ik vind dat prima klinken. Maar een tientje per klant, het is dan echt een boete voor het bedrijf, niet een schadeloosstelling voor het slachtoffer. Als je het hebt over 'verantwoordelijkheid nemen' en 'schade ondervinden' waar @Naafkap het over had, dan heb je het over iemand aansprakelijk maken voor geleden schade toch?

Als jij een aansluitende vlucht mist (die je apart hebt geboekt) door de door jou genoemde vertraging, dan wordt die schade niet door de vertraagde-vlucht-maatschappij betaald. Of als je reservering van je hotel verliest, enzovoorts. Althans, voor zover ik weet. Ik heb een keer vertraging gehad, en dan krijg je €10 ofzo om eten op het vliegveld van te kopen ofzo.
Reageer
Boefmans @fruitbakje17 februari 2026 17:09
Klopt. De persoonlijke schade bij vertraging bij een vlucht is voor iedereen anders..de een denkt, Ach lekker doe ik wat werk de ander komt te laat op een begrafenis. Dat is niet te doen dus er zijn tabellen, ongeacht welke schade krijg je iig ... Uitschieters omhoog kunnen dat volgens mij altijd nog apart aantonen.
Ik heb wss nul schade door dit gedoe. Ik zie het dus idd meer als een boete voor het bedrijf dan een schadevergoeding. Hoeveel het moet zijn weet ik ook niet, daar hebben andere mensen vast verstand van. Maar iemand noemde duizend euro per persoon, dat is in dit geval zes miljard.
Tja...
Reageer
Daoka @fruitbakje17 februari 2026 14:40
Ik ben het zeker met je eens dat het oneerlijk zou zijn. Maar aan de andere zouden bedrijven dus nooit bang hoeven zijn om data te lekken aangezien het dus onmogelijk is voor de consument dit te bewijzen in de meeste gevallen. Dit lijkt mij ook niet de bedoeling.

Voor mij gevoel zou er een gulle middenweg moeten zijn. Bijvoorbeeld 5 tot 10 euro per gelekte data tot een max bedrag van bijvoorbeeld 100 euro of tot bijvoorbeeld 1% jaarlijkse omzet / winst zodat een bedrijf niet gelijk failliet gaat. En bij bijvoorbeeld ID kaarten (+ kosten als je kan bewijzen dat je een nieuwe gehaald hebt wanneer het echt nodig is (dus niet om even gratis te kunnen vernieuwen)) en onbeveiligde wachtwoorden meer. Natuurlijk wel met mogelijkheid om later ook meer te kunnen krijgen als je het wel kan bewijzen en schade hebt. Uiteraard zal het kunnen verschillen voor kleinere en grotere bedrijven bijvoorbeeld. En dat bij nalatigheid het bedrag kan verhogen. Zo hebben bedrijven ieder geval wel een risico en hebben consumenten toch een kleine vergoeding.
Reageer
jigalvh @fruitbakje17 februari 2026 21:04
Hoe wil je het juridisch anders aanpakken? Als iemand schade heeft vanwege identiteitsfraude, per definitie Odido als de schuldige aanwijzen omdat die ooit gegevens heeft gelekt?
Er zou een standaardprijs op bepaalde gelekte gegevens kunnen worden gezet. Deze schadevergoeding moet standaard worden uitbetaald, onverminderd het recht op vergoeding van de daadwerkelijke schade.
En laten we eerlijk zijn, er zijn al zoveel persoonsgegevens gelekt, hoe weet jijzelf nou eigenlijk zeker dat het door de gelekte gegevens van Odido kwam?
Dit geeft al aan hoe slecht bedrijven persoonsgegevens beschermen. Er zou een afschikwerkkende werking moeten uitgaan van de gevolgen van een datalek. Een laboratorium lekt patiëntgegevens? Even een berichtje in de media en een paar maanden later worden ze gewoon weer ingezet voor hetzelfde bevolkingsonderzoek. Odido raakt nu wat klanten kwijt, maar binnenkort komen er vast de O-die-doe-maar-gek-genoeg weken met een leuke aanbieding en hop het aantal klanten is weer op peil.

Het moet voor bedrijven aantrekkelijker zijn om aan AVG/GDPR en privacywetgeving te voldoen, dan heel relaxed maar een beetje te rommelen met persoonsgegevens.
Reageer
Lisadr @Naafkap17 februari 2026 12:20
Toezichthouder AP kan een boete van 4% van de omzet geven (ongeveer 100 miljoen euro), dan zal Odido en elke andere grote organisatie privacy serieuzer nemen. Toezichthouder RDI kan ze een boete van 2% van de omzet geven (ongeveer 50 miljoen euro). Dan zal Odido en elke andere grote organisatie security serieuzer nemen.

Realiteit is dat toezichthouders zelden een boete geven (vaak een waarschuwing) en als ze een boete geven, is dit zeer beperkt en dus geen prikkel voor verandering.
Reageer
PixelPionier @Lisadr17 februari 2026 12:26
Ik vind 1000,- per getroffen klant eigenlijk veel eenduidiger.
Reageer
RetroMan @PixelPionier17 februari 2026 12:42
Daar voorziet de wetgeving niet in, dus dit is voor deze case "wishful thinking".
Reageer
PixelPionier @RetroMan17 februari 2026 13:09
Lijkt me goed om dat in de wet te zetten. Zeker weten dat dat soort bedrijven dan wel fatsoenlijke met onze gegevens om gaan!
Reageer
RetroMan @PixelPionier17 februari 2026 17:28
Nou eh, dan zou ik zeggen "regel dat dan even".
Reageer
PixelPionier @RetroMan17 februari 2026 20:52
Ok, zal ik doen!
Reageer
BezurK @PixelPionier17 februari 2026 12:43
Ik vermoed alleen dat 6 miljard euro wel einde Odido is, dan.
Reageer
Boefmans @PixelPionier17 februari 2026 13:00
6 miljard, einde odido dan :-D
Reageer
twkr18526 @Lisadr17 februari 2026 12:28
Dat zou een manier zijn om Odido te straffen.

Het is een grote fout van het bedrijf dat ze (in mijn geval), wel mijn gegevens hebben bewaard (Odido mails gekregen). Ondanks dat ik al jaren geen klant meer ben van T-Mobile.

En zelf kan ik mijn eigen gegevens niet inzien, als ik inlog op Mijn Odido (password reset met email adres). Ze wekken daarmee de indruk dat ze geen gegevens van mij hebben, behalve email adres. Je kan na inloggen niets zien: geen facturen, adres, rekeningnummer etc.

Én toch zijn die via Odido gelekt. Verder zijn er ook andere hieronder/boven benoemde proces fouten gemaakt, naast de individuele fouten van medewerkers.
Reageer
RogerWilco2 @twkr1852617 februari 2026 12:52
Mogelijk is in jouw geval alleen het mail adres gelekt?

De mail die ik van Odido kreeg was daar niet heel specifiek over.
Reageer
Boefmans @twkr1852617 februari 2026 17:10
Ja de verhouding is echt scheef.
En dan hebben we het niet eens over de echte nog Tech.
Reageer
Muna34 @Lisadr17 februari 2026 13:10
Ik zou inderdaad ook graag zien dat Odido tot actie en transparantie toegezet wordt. Als klant, en daarmee getroffen persoon gaat het mij niet zozeer om een persoonlijke vergoeding. Al steekt het me wel dat Odido geen enkele centimeter toenadering naar haar klanten zoekt. Het is niet dat we het hier over een kleine hack hebben. Dit is een van de grootste datahacks die wij hier in Nederland hebben gezien.

De gelekte informatie is netjes verpakt (als in, een compleet profiel van de personen) zodat deze klaar is om gebruikt te worden. Deze informatie zal vanaf nu over het internet zwerven. Als Odido niet tot een voorbeeld gemaakt wordt vrees ik voor erger. Overgens vind ik het ook belangrijk welke concrete acties Odido nu gaat ondernemen om beter te beloven.

Odido hoeft hier zeker niet aan ten onder te gaan maar ze mogen wel even het vuur voelen. En dan bedoel ik niet de mensen van de klantenservice die je vriendelijk te woord staan maar de eindverantwoordelijken en de mensen die hier daadwerkelijk iets aan kunnen veranderen.

De communicatie is ook pijnlijk summier - alsof ze zelf niet doorhebben wat de schaal van de situatie is.
Reageer
QuintMidas @Muna3417 februari 2026 13:56
Odido hoeft hier zeker niet aan ten onder te gaan maar ze mogen wel even het vuur voelen. En dan bedoel ik niet de mensen van de klantenservice die je vriendelijk te woord staan maar de eindverantwoordelijken en de mensen die hier daadwerkelijk iets aan kunnen veranderen.
Je beseft je dat het juist die vriendelijke klantenservicemedewerkers zijn geweest die dit veroorzaakt hebben?
Volgens de NOS kon de hack plaatsvinden doordat individuele klantenservicemedewerkers werden gephisht. Na het stelen van wachtwoorden wisten de criminelen zich succesvol voor te doen tegenover de klantenservicemedewerkers als ict'ers van Odido. Daardoor konden ze de tweetrapsauthenticatiecodes van de werknemers stelen.
In het eerdere Tweakers-artikel wordt, via een citaat van de NOS, expliciet vermeld dat individuele klantenservicemedewerkers zijn gephisht. Nadat hun wachtwoorden waren buitgemaakt, hebben zij zelfs 2FA-codes doorgegeven aan iemand die zich voordeed als interne IT. Daarmee is de aanval verder mogelijk gemaakt.

Dat is geen obscure zero-day of extreem geavanceerde aanvalstechniek. Phishing en het principe “deel nooit je wachtwoord of authenticatiecode, met niemand” zijn inmiddels al decennia basale veiligheidsregels. Die boodschap wordt niet alleen richting consumenten gecommuniceerd, maar zeker ook binnen professionele organisaties.

Dit is nadrukkelijk niet bedoeld om de fouten van Odido als bedrijf goed te praten, want die zijn er zonder twijfel ook (Denk aan de inrichting van processen, authenticatiemiddelen, monitoring en dataretentie). Maar de volledige schuld uitsluitend bij de eindverantwoordelijken neerleggen is het andere uiterste. Individuele verantwoordelijkheid verdwijnt niet zodra iemand in loondienst is of vriendelijk is aan de telefoon. Zeker in een sector waar met gevoelige klantdata wordt gewerkt, mag je verwachten dat medewerkers fundamentele beveiligingsprincipes kennen en naleven.

Security is niet alleen een kwestie van techniek en beleid, maar ook van persoonlijke discipline. Als we dat aspect volledig wegrelativeren en alles uitsluitend bij “het systeem” neerleggen, doen we alsof menselijke keuzes geen rol spelen — terwijl ze hier aantoonbaar onderdeel van de keten waren.
Reageer
Muna34 @QuintMidas17 februari 2026 14:21
Dat doe ik ook niet en je begrijpt me verkeerd. Ik snap wat er gebeurd is. Alleen ik ga niet kwaad aan de lijn hangen met Odido en de klantenservice persoonlijk op die manier aanspreken. Tevens zijn er zeker meer zaken die niet op orde zijn.
  • De access via een medewerker account (of al zou het zelfs via een administrator gaan) in general
  • Het ontbreken van authorisatie wanneer access nodig is bij het benaderen gevoelige informatie
  • Uberhaupt dat al deze informatie centraal staat in een klantencontact systeem zoals Zendesk
  • Het ontbreken van monitoring op verdachte activiteiten (denk bijv. aan endpoint security of api monitoring)
Tuurlijk, medewerker maakt een fout. Die is menselijk. Alleen de rest van de aanval was vanaf dat punt wel heel makkelijk en de buit ongekend groot. En de bovengenoemde punten zijn echt geen wilde zaken.

Een voorbeeld: Tijdens mijn belletje met de klantenservice worden er vragen gesteld waarvan de klantenservice het antwoord al weet om 'mijn identiteit als klant' vast te stellen. Je zou je uberhaupt moeten afvragen of ze dit op deze manier moeten aanvliegen. Een klantnummer gepaard met een tweede verificatie via bijv, chat/email zou voldoende moeten zijn lijkt me. Mij werden de volgende vragen gesteld om dit vast te stellen.
  • Postcode, Huisnummer
  • Telefoonnummer op abbo
  • Een telefoonnummer wat ik vaak bel
  • Hoeveel de laatste factuur had afgeschreven

[Reactie gewijzigd door Muna34 op 17 februari 2026 14:27]

Reageer
DR!5EQ @Naafkap17 februari 2026 12:44
Ik vind het ook bizar dat de bewijslast bij de consument ligt. Het is voor mij heel simpel. Odido heeft het nagelaten om mijn gegevens te beschermen. Het datalek heeft zodanige gevolgen dat ik mijn recht op privacy (artikel 10 van de grondwet) niet meer heb. Het is niet meer mijn keuze. Mijn gegevens liggen op straat. Nu snap ik ook wel dat Odido mijn en al die andere persoonsgegevens niet heeft neergelegd voor het oprapen, maar ze zijn wel ernstig tekortgeschoten in het beschermen er van. Het is niet voor iedereen is weggelegd om toegang te hebben tot datalekken, maar dankzij dit lek is het wel mogelijk dat mijn e-mailadres (waar mijn voornaam+achternaam of andere persoonsgerelateerde informatie niet in voor komt) onlosmakelijk gekoppeld kunnen worden aan mijn persoonsgegevens. Dankzij Odido.
Reageer
MSalters @DR!5EQ17 februari 2026 16:37
De bewijslast ligt niet meer bij de klanten als de ACM hier een boete voor geeft.

Overigens heb je alsnog dan in een civiele zaak de verplichtingen om je eisen te onderbouwen. Wil je schade vergoed hebben? Dan moet je die aannemelijk maken. En Art 10 GW is niet zo gedetailleerd dat daar een bedrag staat.
Reageer
Mathijs Kok @Naafkap17 februari 2026 13:28
Hoe moet je als consument bewijzen dat schade is ontstaan door het datalek? Dat is niet te doen. De consument wordt dan ernstig gedupeerd met mogelijk zeer grote gevolgen.
Het lijkt me dat als jij 'gedupeerd word met zeer grote gevolgen' je dat wel kan zien en kan aantonen. En het lijkt me niet meer dan logisch dat de wet (niet Odido) vereist dat je schade kan aantonen voor je compensatie krijgt. Zoals je hebt kunnen lezen kan die schade zelfs geestelijk zijn.
Reageer
redslow @Naafkap17 februari 2026 12:40
Niet alleen klanten ook oud klanten. Die al een jaar niet meer bij Odido zitten zijn het slachtoffer omdat dit soort bedrijven de data twee jaar lang bewaren.
Reageer
mission @Naafkap17 februari 2026 15:06
Als je niet kunt bewijzen dat je schade geleden hebt, heb je dan wel schade geleden?
Reageer
Quinz @Naafkap17 februari 2026 12:28
Dat deze (gevoelige) data is gelekt is een kwalijke zaak, maar dat betekent niet dat de beveiliging niet op orde is. Odido is ISO 27001 gecertificeerd en dat betekent dat er nodige beveiligingsrisico's zijn geïdentificeerd en dat daar adequate beveiligingsmaatregelen voor zijn getroffen. Deze beveiligingsmaatregelen worden jaarlijks gecontroleerd door een onafhankelijke auditor. De maatregelen lopen uiteen van fysieke, organisatorische en technologische aard.

De kwaadwillende zijn in het systeem gekomen via de zwakste schakel: de mens. Geheel het risico uitsluiten resulteert in een onwerkbare situatie voor de medewerkers van Odido. Er zal dan ook, na de genomen maatregelen, een restrisico overblijven. Dit restrisico wil je natuurlijk zo klein mogelijk houden.

Wat we wel kunnen stellen is dat de organisatie data in bezit had waar het geen recht (meer) op had. Daarnaast was het mogelijk voor medewerkers om buiten de gewenste scope toegang te krijgen tot persoonsinformatie (in bulk!). Deze twee punten zou bij een (goede) audit resulteren in een minor bevinding (en mogelijk intrekken van de certificering).

In de aankomende cyberbeveiligingswet zit een hoofdelijke aansprakelijkheid. Dit betekent dus dat er een daadwerkelijk een noodzaak is voor bedrijven om maatregelen te nemen te nemen.

Het is dan ook niet geheel terecht om te concluderen dat de beveiliging niet op orde was.

[Reactie gewijzigd door Quinz op 17 februari 2026 12:30]

Reageer
Naafkap @Quinz17 februari 2026 12:31
Hoewel je gelijk hebt, voel ik toch een grote onrechtvaardigheid. De consument kan serieuze schade lijden buiten zijn schuld om. Daar wordt in mijn ogen te weinig aandacht aan besteed te makkelijk weggewuifd als aanvaardbaar risico.
Reageer
mjtdevries @Naafkap17 februari 2026 12:42
Odido heeft ook serieuze schade buiten haar schuld om. Want vóór dit datalek vonden we allemaal 2fa wel goed en zou niemand hier hebben aangegeven dat hackers makkelijker met social engineering door 2fa heen kunnen breken.
Niemand zou roepen dat je nalatig bent geweest met je beveiliging als je 2fa gebruikte.
Reageer
Croqy @mjtdevries17 februari 2026 12:48
Het lek heeft aanzienlijk grotere impact, omdat Odido tegen de regels mbt bewaartermijn in gegevens langer dan nodig heeft bewaard, waardoor ook gegevens zijn gelekt die Odido niet meer had mogen hebben. Daar zit dus wel degelijk een schuld.
Reageer
mjtdevries @Croqy17 februari 2026 12:51
Er zijn geen regels die stellen hoe lang de bewaartermijn moet zijn.
Die termijn bepaal je als bedrijf zelf. Je hoeft alleen maar te zorgen dat je daar een valide onderbouwing voor hebt.
Reageer
Croqy @mjtdevries17 februari 2026 13:07
https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/bewaren-van-persoonsgegevens
Reageer
mjtdevries @Croqy17 februari 2026 17:59
En daarin word precies bevestigd wat ik al zei: de AVG heeft geen regels die stelt hoe lang de bewaartermijn moet zijn. Er zijn andere wetten die een minimale bewaartermijn opleggen, maar maximale bewaartermijnen zijn er niet.
Alleen de algemene regel: niet bewaren als je het niet meer nodig hebt. Maar dat is dus afhankelijk van de onderbouwing die je geeft waarom je iets bewaart.
Reageer
Bomb-el @mjtdevries17 februari 2026 19:38
Verdomd, dat staat er inderdaad echt. Wat een nikszeggende teksten staan er op deze pagina van AP zeg. Ben een beetje in shock. Er staat feitelijk: kijk zelf maar wat bij je past voor het bewaren van persoonsgegevens 8)7
Nooit geweten. Dacht dat dit aardig was dichtgetimmerd
Reageer
grq @mjtdevries17 februari 2026 13:09
En zij hebben gekozen voor twee jaar, maar hebben gegevens veel langer bewaard. Ik weet niet of dat juridisch nog wat uitmaakt, maar toch.
Reageer
GeleFles @mjtdevries17 februari 2026 13:12
Dat is het probleem ook: Odido zegt dat ze een bewaartermijn van 2 jaar hanteren, echter zijn er veel berichten van klanten die al 3+ jaar weg zijn en alsnog een mail hebben gekregen. (en die hadden geen openstaande betalingen of support vragen uitstaan)

Dat betekend dat ze zich niet houden aan hun security policy (en dus ISO certificering). Mijn inziens zijn ze dan nalatig geweest.
Reageer
downtime @mjtdevries17 februari 2026 17:19
Een valide onderbouwing is niet wat jou toevallig goed uitkomt. Want dan zou "we vonden het teveel moeite om op te ruimen" ook een valide onderbouwing zijn. Er moet sprake van regelgeving of operationele noodzaak zijn.
Reageer
mjtdevries @downtime17 februari 2026 18:00
Je begrijpt de betekenis van het woord valide klaarblijkelijk niet.
Reageer
R4gnax
@Quinz17 februari 2026 19:51
Dat deze (gevoelige) data is gelekt is een kwalijke zaak, maar dat betekent niet dat de beveiliging niet op orde is. Odido is ISO 27001 gecertificeerd en dat betekent dat er nodige beveiligingsrisico's zijn geïdentificeerd en dat daar adequate beveiligingsmaatregelen voor zijn getroffen.
Ik zag in recente draadjes betr. Odido hier op Tweakers een bericht voorbij komen over het wijzigen van wachtwoorden, en een mede-Tweaker die blij verrast was dat Odido aangaf dat hun nieuwe wachtwoord niet teveel mocht lijken op hun laatste drie wachtwoorden, alsof dit een goede mate van service zou zijn.

Maar--
Hoe weet Odido nog wat die laatste drie wachtwoorden zijn?

Als wachtwoorden proper gehasht zijn met salt en pepper kun je daar niets over zeggen. Alleen als wachtwoorden met een zwakkere vorm van locality-sensitive hashing opgeslagen zouden zijn zou je iets over 'lijkt te veel op' kunnen zeggen, maar dat wil zeggen dat er geen pepper (per database-regel unieke component) aan de hash input toegevoegd zou zijn, waarmee password hashes dus met rainbow tables aan te vallen zijn.

De enige andere mogelijkheden zouden zijn dat oude passwords reversible encrypted opgeslagen worden zodra je deze de laatste keer invoert icm een nieuw wachtwoord, en dus dat deze zodra de private key gestolen is, in clear text omgezet kunnen worden. Of dat ze domweg direct in clear text opgeslagen staan.

Dat komt op mij niet over als 'je beveiliging op orde hebben.'
Dat komt op mij over als: "het kan ons stikken als gebruikers deze of soortgelijke wachtwoorden elders nog in gebruik hebben."

[Reactie gewijzigd door R4gnax op 17 februari 2026 19:56]

Reageer
Kruitdamp 17 februari 2026 12:21
Ik krijg nu al mailtjes binnen dat ik in Canada een bankrekening heb geopend :'( en of ik even via de mail dit kan bevestigen
Reageer
Miyamoto @Kruitdamp17 februari 2026 12:45
Die kreeg je waarschijnlijk eerder ook al. Zover bekend zijn de gegevens nog niet gebruikt. Men wil waarschijnlijk de gegevens ten gelde maken, dat doe je niet door ze binnen één week te gebruiken.
Reageer
Kruitdamp @Miyamoto17 februari 2026 12:58
Het aantal spam/dubieuze berichten was de laatste juist minimaal. Dit bericht kwam ook vanuit het officiële domein van de betreffende bank (vinkje bij het mailadres).
Reageer
RDilus @Kruitdamp17 februari 2026 20:36
het "vinkje" waar je over praat is niet zo legit als het lijkt ik krijg ook scam mails van paypal dat er nog 20 euro tegoed is met een mooi vinkje erbij terwijl mn paypal account op betrevende email niet eens actief is.

phishing is zo goed tegenwoordig
Reageer
PanaLover 17 februari 2026 12:23
Ik zag vanmorgen op RTL nieuws Hart van Nederland. dat bovengemiddeld veel klanten hun contract bij Odido hadden opgezegd. Dat gaan ze zeker merken. Een charme offensief zoals iedereen een vast bedrag teruggeven zal best wel werken. Hun kop in het zand steken en zeggen dat ze niets hoeven te vergoeden zal hun situatie zeker niet verbeteren.

Gewijzigd:

Ik had het gezien op Hart van Nederland ipv RTL nieuws. En bron toegevoegd.

Bron

[Reactie gewijzigd door PanaLover op 17 februari 2026 20:25]

Reageer
Faloude @PanaLover17 februari 2026 13:21
Heb je hier een bron voor? Ik wacht al dagen lang op dit soort berichten. Ik ben echt heel erg benieuwd in hoeverre dit klantengedrag aanstuurt. Veel mensen leven nog in een "ach ze weten toch al alles van me" sfeer.
Reageer
PanaLover @Faloude17 februari 2026 20:26
Ik heb bron toegevoegd.
Reageer
Miyamoto @PanaLover17 februari 2026 12:43
Dat ging om "een paar honderd", dat merken ze niet.
Reageer
ep667 @Miyamoto17 februari 2026 13:30
De meeste mensen zitten vast in een contract, dus kunnen ook helemaal niet weg.

Dat dit wegens nalatigheid, het mogelijk niet nakomen van de eigen privacyverklaring en het leveren van een wanprestatie gevoelsmatig anders zou kunnen zijn, doet daar niets aan af.
Reageer
ShadLink @ep66717 februari 2026 13:50
Mijn contract was gelukkig reeds afgelopen en had al een aanbieidng voor verlenging gekregen. Dat gaat dus niet gebeuren en ga naar een andere provider overstappen.
Reageer
Botmeister 17 februari 2026 12:38
Allemaal 5 euro compensatie. Volgend jaar de prijs met 6 euro omhoog.
Reageer
computerjunky @Botmeister17 februari 2026 14:00
Ja eenmalig betaald en permanent per maand omhoog. Ik snap niet dat mensen altijd om compensatie vragen. Uiteindelijk betaal je het zelf terug.
Dit voornamelijk domme toxische trekje komt uit Amerika overgewaaid waar ook niemand er beter van word want de prijzen zijn daar astronomisch de kwaliteit ruk en alleen advocaten lachen zich rot.
Reageer
Marrtijn 17 februari 2026 12:25
Ik ben klant van Odido en ik heb begrip dat er fouten gemaakt worden. Een gegevenslek kan inderdaad gebeuren en als daar fatsoenlijk op gereageerd zou zijn kan ik daar begrip voor hebben.


Odido heeft echter gekozen voor een mediastrategie waar de verantwoordelijkheid wordt afgescheept en waar de prioriteit vooral het beschermen van de eigen bottom line is, en dat heeft me laten inzien dat ik geen klant meer wil zijn van dit bedrijf.
Reageer
Marrtijn @RetroMan17 februari 2026 13:24
Lees anders nog eens, het gaat niet om de veiligheidsgarantie maar het gaat om de reactie van Odido.
Reageer
memphis 17 februari 2026 12:34
Ben benieuwd hoe snel klanten gaan overstappen naar een andere provider. Ik snap dat een schadevergoeding bij zoveel klanten en oud klanten (die te lang in het systeem stonden) die nu gedupeerd zijn een schadevergoeding financieel ondoenbaar is maar hoe Odido zich nu gedraagt is wel onbeschoft.
Op zeker zullen de emailadressen en telefoonnummers misbruikt gaan worden door spammers en scammers en dan zeggen dat het lastig te bewijzen is dat identiteitsfraude door de hack aantoonbaar is is gewoon geen vorm van een klantenservice.
Reageer
tcviper @memphis17 februari 2026 13:03
In januari verlengd voor een jaar, dus ben bang dat ik daar niet onderuit ga komen. Maar goed ,we zullen het zien.

[Reactie gewijzigd door tcviper op 17 februari 2026 20:39]

Reageer
Danos9786 @tcviper17 februari 2026 16:12
krijg je daar wel de 100 procent garantie dat het bij hun niet kan gebeuren?
Reageer
tcviper @Danos978617 februari 2026 17:17
Nee, zeker niet. Dat kan geen enkel bedrijf.
Reageer
Danos9786 @tcviper17 februari 2026 20:02
Dan heeft opzeggen an sich toch weinig zin? Dan zit je straks daar en dan zal je zien dat je daar weer een datalek hebt. En gaan we dan bij een bank ook overstappen, veranderen van de tennis club of verhuizen als het bij geen gemeente gebeurd? En ik durf mijn hand in het vuur te steken dat de communicatie en regelingen echt niet beter gaan zijn dan nu met Odido,

Ik denk de komende tijd dat je veiliger bij Odido zit omdat die natuurlijk in de overdrive gaan zitten qua beveiliging.

Nu klinkt het dat ik pro Odido ben maar ik heb genoeg aan te merken vooral over de communicatie bijv de directeur had bijvoorbeeld op tv moeten komen. Net als er veel meer info moet komen over wat je als consument kan doen, waar je op moet letten, voorbeelden laten zien dat er geen misbruik gemaakt kan worden van gegevens, uitleggen waarom je welke data bewaard etc etc. Het lek an sich wacht ik nog even af of er nog meer info komt over de hoe en de wat
Reageer
tcviper @Danos978617 februari 2026 20:38
Nee ik snap je redenering, and it makes sense. Ik wacht het ook rustig even af.
Reageer
Mathijs Kok @tcviper17 februari 2026 13:33
Helaas in januari verlengd voor een jaar, dus ben bang dat ik daar niet onderuit ga komen. Anders stapte ik vandaar nog over naar Freedom voor vast internet.
Als je ze nu belt en zegt dat je weg wilt door deze zaak, doen ze daar niet moeilijk over.
Reageer
tcviper @Mathijs Kok17 februari 2026 14:15
Dat betwijfel ik toch 😀
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq