Door Kevin Krikhaar

Redacteur

Feedback • 17-02-2026 12:00 177

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

17-02-2026 • 12:00

177

Odido

Klanten van Odido waren afgelopen week eens niet de dupe van een storing, maar van een datalek. Hackers zouden via phishing en socialengineering de wachtwoorden en 2fa-codes van klantenservicemedewerkers hebben gestolen, waarmee ze in de Salesforce-omgeving terecht konden komen die Odido gebruikt voor klantregistraties.

Daarbij zijn uiteenlopende gegevens gestolen van miljoenen (voormalige) klanten van zowel Odido zelf als zustermerk Ben. Het kan gaan om naw-gegevens, mobiele nummers, klantnummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en identificatiegegevens. Bij dat laatste gaat het om het nummer en de geldigheidsduur van paspoorten, ID-kaarten en rijbewijzen.

Op een informatiepagina geeft Odido aan dat het probeert te voorkomen dat klanten op enige manier schade ondervinden door het datalek. Op fora zoals dat van Tweakers vinden klanten dat het daar nu al te laat voor is en dat zij al schade hebben geleden. Daar zou dan mogelijk ook een vergoeding tegenover moeten staan. Juristen die Tweakers sprak stellen dat het behoorlijk lastig is om schade aan te tonen, maar dat dit in dit geval niet volledig kansloos is.

Hebben klanten schade geleden?

Alleen het feit dat er data gestolen is, is niet genoeg om een compensatie te krijgen. Klanten moeten aantonen dat zij materiële of immateriële schade hebben geleden door het datalek. In het verleden is dit in Nederland enkele keren succesvol aangetoond. Daarbij ging het meestal om uitgelekte medische gegevens. Zo kreeg een vrouw in 2023 500 euro schadevergoeding voor de angst die zij heeft geleden door een datalek bij het UWV.

Dit zijn uitzonderingen. Bovendien zijn er in Nederland nog geen succesvolle massaclaims over datalekken, zegt advocaat Sven van Dooren tegen Tweakers. Onderzoeken naar de haalbaarheid van een claim omtrent de gelekte data bij Bevolkingsonderzoek Nederland lopen momenteel nog.

In het geval van Odido zijn er geen medische gegevens gelekt. Voor het grootste deel van de gestolen persoonsgegevens is schade lastig aan te tonen. Er is wel één persoonsgegeven waarbij schade beter te beargumenteren is, stelt juriste Charlotte Meindersma. Van sommige klanten zijn documentnummers van identiteitsbewijzen gestolen, inclusief de geldigheidsduur van het document.

Odido-datalek
Odido-datalek

In combinatie met de andere gestolen gegevens kan daar volgens Meindersma eenvoudig identiteitsfraude mee worden gepleegd. Het zou volgens haar dus niet vreemd zijn als klanten uit voorzorg nieuwe identiteitsbewijzen zouden aanvragen. Dat kan worden gezien als materiële schade, waardoor een deel van de kosten mogelijk verhaald kan worden op Odido. In het verleden konden provinciemedewerkers in de provincie Gelderland na een datalek al gratis een nieuw paspoort aanvragen, al gebeurde dit niet naar aanleiding van een rechtszaak.

In het geval van Odido zou het aanspannen van een massaclaim het meest logisch zijn, stelt Meindersma. De geleden schade door de gestolen documentnummers is niet specifiek van toepassing op één individu, maar op meerdere Odido-klanten. De betreffende klanten moeten dan wel bewijzen dat zij daadwerkelijk een nieuw paspoort hebben aangevraagd. Van Dooren plaatst daar als kanttekening bij dat, als hetzelfde documentnummer al eerder is gelekt, het verband tussen het lek bij Odido en de geleden schade nu, mogelijk lastiger aantoonbaar is.

Immateriële schade door een datalek is volgens Meindersma veel lastiger te bewijzen. "Dat is in Nederland nauwelijks aan de orde. Het wordt heel moeilijk om aan te tonen dat het datalek zoveel stress heeft opgeleverd dat de impact zo groot is dat je die in een bedrag kunt uitdrukken." De juriste stelt dat het in uitzonderlijke gevallen eventueel mogelijk zou zijn om immateriële schade te bewijzen als de gestolen gegevens worden geopenbaard, bijvoorbeeld op een hackersforum. Dat kan zich voordoen als iemand last heeft van een stalker en diegene door het datalek toegang krijgt tot adres- en telefoongegevens, terwijl deze gegevens verder zijn afgeschermd online. Vooralsnog zijn de Odido-gegevens niet gepubliceerd.

Is Odido aansprakelijk?

Waar de juristen het niet over eens zijn, is de vraag of Odido aansprakelijk kan worden gesteld voor de gestolen klantgegevens. Zo niet, dan hoeft de provider geen compensatie uit te keren. Van Dooren vindt het te vroeg om te oordelen of het bedrijf in dit geval nalatig is geweest met de beveiliging.

"Odido is zelf ook slachtoffer van criminelen", stelt hij. "Volgens de AVG moeten bedrijven voldoen aan verschillende verplichtingen, zoals het geven van regelmatige securitytraining aan medewerkers en het gebruiken van 2fa. Als Odido al die maatregelen heeft genomen en het gaat toch mis, kan dat de provider volgens de huidige wetgeving niet worden verweten. In hoeverre Odido die maatregelen daadwerkelijk heeft genomen, zal onderzocht moeten worden."

Meindersma kan zich wel voorstellen dat Odido aansprakelijk wordt gesteld voor het incident. "Het helpt Odido in ieder geval niet dat het zo eenvoudig was om de gegevens te stelen." Volgens haar lijkt het erop dat de organisatorische beveiliging onvoldoende is, omdat medewerkers niet goed genoeg waren geïnstrueerd om zo'n hack te voorkomen. Ook de technische beveiliging was mogelijk niet op orde, omdat Odido wellicht te veel persoonsgegevens in dezelfde database heeft opgeslagen, in plaats van een deel van de data, zoals documentnummers, apart te bewaren.

Bewaart Odido klantgegevens te lang?

Een andere vraag die hiermee in verband staat, is of Odido de gegevens van klanten niet te lang bewaart. Er zitten ook gegevens tussen van oud-klanten. Volgens Meindersma bestaat er geen vaste maximale bewaartermijn voor persoonsgegevens. Bedrijven hebben een goed onderbouwde reden nodig om persoonsgegevens te bewaren.

Odido bewaart verschillende gegevens van oud-klanten, zoals het bankrekeningnummer, naar eigen zeggen tot twee jaar na het aflopen van het contract. Het is volgens de jurist de vraag of dat te rechtvaardigen is. "Het is logisch dat je contactgegevens nog enige tijd bewaart voor marketingdoeleinden", stelt zij. "Maar andere informatie, waaronder het rekeningnummer, heb je niet meer nodig van een voormalige klant."

Het Financieele Dagblad meldt wel dat ook klanten die al vijf tot tien jaar geleden zijn overgestapt, een mail hebben gekregen waarin staat dat hun gegevens onderdeel zijn van het lek. Odido zegt tegenover het FD te onderzoeken waarom de gegevens van oud-klanten langer dan twee jaar worden bewaard.

"Ik kan me voorstellen dat de Autoriteit Persoonsgegevens vragen gaat stellen aan Odido naar aanleiding van het datalek", zegt Van Dooren. "Dan kunnen zij ook kijken naar de bewaartermijnen. Als de toezichthouder concludeert dat er fouten zijn gemaakt, wordt het voor individuen makkelijker om met succes een schadeclaim in te dienen." De AP reageerde niet op vragen van Tweakers.

Odido stock (bron: Pixelbizz/Getty Images)
Odido. Bron: Pixelbizz/Getty Images

Redactie: Kevin Krikhaar • Eindredactie: Monique van den Boomen

Lees meer

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Beveiliging en antivirus Datalek Odido

Reacties (177)

-Moderatie-faq
177
175
61
6
0
99
Wijzig sortering

Sorteer op:

Weergave:
D.nukem 17 februari 2026 12:20
Ik begrijp dat het via de credentials van een medewerker ging en niet door een achterdeur via een hack.

Kan iemand mij dan misschien uitleggen hoe het kan dat een medewerker zoveel klanten in een korte tijd in diens eentje kan verwerken zonder dat er een "scrape" beveiliging de toegang blokkeerd?

Nu komt de bedreiging van buitenaf, maar dit soort blokkades dienen er ook te zijn tegen kwaadwillende medewerkers, ik verweis naar de datalek vanuit de GGD door een medewerker intern.
Reageer
AceAceAce @D.nukem17 februari 2026 12:37
Zo'n scrapebeveiliging bouwen is kosteninefficiënt. Throttling/limiting op interne endpoints op basis van abnormaal persoonlijk gebruik (en wat is dan abnormaal), staat haakt op dat alles zo snel mogelijk en zo vaak mogelijk beschikbaar moet zijn.

Limieten/throttling definieren voor je publieke endpoints, ter ondersteuning van DDoS protectie (bv AWS WAF rate-limiting rules) is al lastig, maar nog in te schatten en te verkopen, maar intern, met veel kleiner aanvalsvlak?

[Reactie gewijzigd door AceAceAce op 17 februari 2026 12:38]

Reageer
Mathijs Kok @AceAceAce17 februari 2026 13:21
Zo'n scrapebeveiliging bouwen is kosteninefficiënt. Throttling/limiting op interne endpoints op basis van abnormaal persoonlijk gebruik (en wat is dan abnormaal), staat haakt op dat alles zo snel mogelijk en zo vaak mogelijk beschikbaar moet zijn.
Uhhhh het gaat hier over Salesforce. Daar kan je niet makkelijk in 'bouwen'. Mocht Salesforce deze optie wel hebben en die niet in gebruik was, dan lijkt me dat nalatigheid makkelijker aan te tonen is. Persoonlijk ken ik geen systemen die dit zouden blokkeren. In een salesomgeving heb je vaak de gehele dataset nodig.
Reageer
Ferrox1 @Mathijs Kok17 februari 2026 14:02
Je kunt binnen salesforce makkelijk aangeven en beheren wat er wel en niet mag met welke rechtengroepen. Vervolgens hang je daar je accounts aan.
Ik vraag me vooral af wie er binnen Odido zich heeft laten lenen voor de social engineering. Want dit moet dan minimaal iemand met hogere rechten binnen salesforce zijn, die rechten heeft op diverse scraping tools. (of synchronisatie tools) Want "gewoon even 7 miljoen klanten info downloaden" vereist normaliter wel hogere rechten dan een support- /callcenter rechtengroep. Bovendien kun je uitzetten dat hele objecten met hun databases gedownload kunnen worden (ook vanuit reports en dashboards).

Bovendien kun je heel makkelijk instellen hoe lang de bewaartermijnen zijn van verschillende data in verschillende situaties. Ook de facturen zijn makkelijk apart te zetten met de 7 jaar bewaar termijn (desnoods op een offline of alternatieve storage). Ook kun je aangeven welke classificatie bepaalde gegevens hebben welke policy daarop gezet moet worden en dus automatisch gewist / geanonimiseerd worden.

Mijn ervaring tot nu toe als gecertificeerd salesforce admin is dat er vaak door een integrator partner een gelikte omgeving er in gestampt wordt. Maar data sanity volledig vergeten wordt. Het mooie is dat salesforce je hierop wel goed kan trainen via hun online platform (trailhead). Waar het vaak aan schort is prioriteit om dit ook goed te implementeren. Dit kost namelijk voorbereiding en tijd om deze migraties goed uit te voeren. Een sandbox met een (deel) (geanonimiseerde) snapshot van de data kost extra licenties om migratie stappen te testen. Ik vind de omgeving bij Odido sowieso rampzalig opgezet. Ik kijk soms mee in de store (waar ze letterlijk in salesforce kijken) en ik zie ze continu schakelen tussen systemen en verschillende views om simpele dingen voor elkaar te krijgen. Tja, daar krijg ik wel jeuk van en dit is een logisch gevolg als ook je data policy als dusdanig is ingericht.

[Reactie gewijzigd door Ferrox1 op 17 februari 2026 14:04]

Reageer
noes @AceAceAce17 februari 2026 13:44
Throttling/limiting op interne endpoints op basis van abnormaal persoonlijk gebruik (en wat is dan abnormaal), staat haakt op dat alles zo snel mogelijk en zo vaak mogelijk beschikbaar moet zijn.
Daar ben ik het niet mee eens. Max X requests per X tijd per medewerker (evt met incremental backoff) kan nooit heel moeilijk zijn om te bouwen. En als je dat gebouwd hebt zet je er eerst logging op, dan weet je hoeveel toegangsrequests normaal zijn voor een medewerker in een bepaalde rol. Dat stel je in, met een beetje marge en evt een waarschuwing naar security dat men over een limiet heen gaat.

Stel een klantenservice medewerker aan de telefoon. Die moet misschien per gesprek van 1-3 klanten de gegevens opvragen (bijv bij verhuizing of fuseren van abbo zowel oud/nieuw). Misschien dat een ervaren medewerker gemiddeld zo'n 30 klanten per uur kan helpen. Dan heeft die medewerker dus gemiddeld 60 keer toegang tot klantgegevens nodig per uur. Voor (bijv) medewerkers die analyses doen kan je andere rechten instellen dan een callcenter medewerker: zo moeten die vaker klantgegevens kunnen zien, maar hebben weer niet álle gegevens per klant nodig.

Je weet ook dat geen enkele medewerker 24u/dag aan het werk is. Dus als er gedurende 10+ uur requests van die gebruiker binnen blijven komen, is er iets aan de hand. Toegang koppelen aan de ingeplande werktijden is wellicht wat ingewikkeld (verschillende systemen, overwerk/verschoven diensten etc), maar een signaaltje naar een security team na 10+ uur activiteit is niet zo moeilijk.

Met deze twee maatregelen heb je al gigantisch veel risico ingeperkt, zonder dat je een issue hebt in de normale werkzaamheden.

[Reactie gewijzigd door noes op 17 februari 2026 13:45]

Reageer
Daoka @AceAceAce17 februari 2026 13:44
(en wat is dan abnormaal)
Ik denk dat een bedrijf dit wel makkelijk kan betekenen. Ze zullen vast wel bijhouden hoe vaak en hoe lang mensen bellen voor controle of mensen hun werk wel doen. Pak het gemiddelde en doe daar ongeveer 30% bovenop. Of pak de uiterste en je zit goed.

Ik zelf zou schatten ongeveer 40 per uur. Ik schat dat je bij als de klant niet opneemt ongeveer een minuut kwijt ben. Dan denk ik aan de klant in de software laden, even kijken wat ze al hebben en wat ze misschien nog extra zouden kunnen / willen nemen, bellen, wachten of er opgenomen wordt en ophangen. Dit lijkt mij wel ongeveer een minuut te kunnen zijn. En als we uit gaan van 3 minuten per aangenomen gesprek. Dat zou dus 4 minuten zijn per 2 klanten wat uit komt op 30 per uur. Doe er dan iets meer bij en je komt op 40 tot 45 ongeveer per uur. Dit lijkt mij wel een redelijke schatting zonder het werk dwars te zitten. Daarnaast kan je natuurlijk ook iets inbouwen dat je niet meer als 5 per minuut mag zien om screenshots / scraping te voorkomen en dat er bijgehouden wordt hoe vaak je die limiet bereikt.
Reageer
karma4 @AceAceAce17 februari 2026 15:05
In het verhaal wat we lezen zou juist overdreven veel checkpoints moeiheid in alertheid veroorzaakt hebben. Als je honderd keer onterecht geblokkeerd raakt dan staat er een cultuur van doorklikken.
Dan komt de ene echte aanval er tussendoor en .... niet meer te herkennen.
Reageer
Lisadr @D.nukem17 februari 2026 12:30
Odido lijkt zijn basis hygiëne op het gebied van security en privacy niet op orde te hebben. Niet vreemd voor dit soort bedrijven, aangezien ze dingen als security en privacy zien als (vervelende) kosten.

Daarnaast vinden grote telecombedrijven bij de wervingsselectie ervaring binnen het bedrijf en ervaring binnen de sector veel belangrijker dan expertise om problemen op te lossen en de volwassenheid te verhogen. Hierdoor zie je vaak dezelfde problemen ontstaan, omdat ze niet leren van andere sectoren. Ik zeg niet dat het laatste zeker het geval was bij Odido, maar het is kenmerkend voor de sector.
Reageer
familyman @Lisadr17 februari 2026 12:36
Weet t wel zeker. Mijn gegevens zijn ook geraakt, terwijl ik al meer dan 10 jaar geen zaken met ze doe.
Reageer
all_by_myself @familyman17 februari 2026 12:51
.... maar dan zijn in ieder geval niet je paspoortgegevens bruikbaar.. Dat scheelt dan weer.
Reageer
DrPoncho @all_by_myself17 februari 2026 13:01
Dat dan weer wel, dat dan weer wel. Ja daar moeten we toch eerlijk over wezen
Reageer
Echnon @familyman17 februari 2026 13:03
Ik denk dat vooral dit excessief bewaren een staartje gaat krijgen. Ik zat ook ooit bij Ben. Dat email adres heb ik niet meer dus nog geen melding. Bij mij zou het om 15+ jaar geleden gaan.

Als de AP z'n werk zou doen zou Odido hier een boete van 4% van de jaaromzet voor moeten krijgen.
Reageer
Muurtegel @Echnon17 februari 2026 15:06
-

[Reactie gewijzigd door Muurtegel op 17 februari 2026 15:07]

Reageer
MAD_Sofia @familyman17 februari 2026 14:07
Bij mij ook, precies langer dan 2 jaar weg.. ..pats boem, paspoort op straat.. en als ik zelf inlog bij Odido, kan ik niets inzien van mijn eigen gegevens..
Reageer
familyman @MAD_Sofia17 februari 2026 14:13
2 jaar kan nog. 7 jaar is nodig voor belasting.
Reageer
MSalters @familyman17 februari 2026 14:52
Te simpel. Albert Heijn weet überhaupt niet wie hun klanten waren. Dat is voor de belasting namelijk niet nodig. Niet 7 jaar en zelfs geen 7 minuten.

Albert heijn weet natuurlijk wel wie de werknemers waren, want dat is dan wel weer nodig voor de belasting.
Reageer
familyman @MSalters17 februari 2026 15:25
Ach, het is de wet.

Albert heijn weet ook namen en rekeningnummers voor pinbetalingen en moet deze 7 jaar vasthouden.
Reageer
MSalters @familyman17 februari 2026 16:27
Ik heb even in de ING voorwaarden gekeken (weet niet waar de AH bankiert). Die zijn expliciet in het verbod. Deze gegevens mag je niet bewaren.

Er is een wet die zegt dat je je debiteuren administratie 7 jaar moet bewaren, maar een pinbetaler is geen debiteur.
Reageer
familyman @MSalters17 februari 2026 16:33
Het gaat niet om bankieren, maar om administratie plicht.

Pinbetalingen staan op afschriften. Die moeten bedrijven 7 jaar bewaren.
Reageer
MSalters @familyman17 februari 2026 16:53
Een pinbetaling afschrift bevat persoonsgegevens van de klant, maar geen BTW regels. Daarom is er een AVG verbod en is er geen BTW verplichting.

(Je moet wel de kassabon 7 jaar bewaren, want daar staan wel belastinggegevens op)
Reageer
moonlander @Lisadr17 februari 2026 13:07
aangezien ze dingen als security en privacy zien als (vervelende) kosten.
Dat is een aanname die jij doet.
Reageer
CH4OS
@moonlander17 februari 2026 13:44
Elk bedrijf zal altijd het minimale doen om te voldoen aan de Wet, want dat is het goedkoopste. Zo simpel is het. Kun je van zeggen dat het een aanname is, maar je weet zelf ook wel dat een bedrijf er alles aan gelegen is om zoveel als mogelijk winst te maken. Bij het bedrijf waar ik werk nemen we beveiliging ook serieus, doen daar ook heus wel wat mee, maar we doen wel het minimale dat van ons verwacht wordt. Meer is extra kosten die niet nodig zijn en dus ook niet gemaakt worden.
Reageer
divvid @CH4OS17 februari 2026 14:09
Meer is extra kosten die niet nodig zijn en dus ook niet gemaakt worden.
totdat......

dan ben je erg blij dat je die kosten wél gemaakt hebt, omdat de gevolg schade vele malen groter is dan de kosten. In mijn vorige werk was men daar wél mee bezig. Een, volgens managers, overbodige redundantie. Todat....er een enorme wateroverlast was en een server ruimte, ondanks maatregelen, toch onder liep.

Wat waren we blij met de redundantie. Het bedrijf kon doordraaien en intussen de boel opruimen. Mocht het bedrijf niet hebben kunnen doordraaien, dan had dit ongeveer 3mln PER WEEK gekost. de redundante oplossing kostte ongeveer 6 ton, een schijntje dus.

les: wat je wettelijk minimaal moet doen is niet altijd de beste strategie.

[Reactie gewijzigd door divvid op 17 februari 2026 14:09]

Reageer
CH4OS
@divvid17 februari 2026 14:21
En hoe groot is de kans dat een serverruimte onderloopt en wat heeft dat met databeveiliging te maken? :?
Ik zou dan eerder vraagtekens zetten waarom een serverruimte überhaupt op die plek moe(s)t komen, ipv te investeren in redundantie.

[Reactie gewijzigd door CH4OS op 17 februari 2026 15:14]

Reageer
MSalters @CH4OS17 februari 2026 14:56
Data beveiliging valt onder Availability - zorgen dat data voor de juiste mensen beschikbaar is. Server ruimtes die onder lopen gaan ten koste van Availability.

Denial of Service is dus ook een Security risico omdat het de Availability hindert.
Reageer
XelaRetak @Lisadr17 februari 2026 13:03
Niet alleen (vervelende) kosten, maar het succesvol implementeren van een DLP oplossing is ook een bijzonder tijdrovende en ingrijpende klus.
Reageer
Devian @Lisadr17 februari 2026 13:39
Wat is die basis hygiene dan? Hoe ziet dat eruit?
Reageer
karma4 @Lisadr17 februari 2026 15:07
Annanames zonder onderbouwing je helpt de black hatters en niet de gedegen volwassenheid.
Het is kenmerkend in ICT veel buzz , ophef en weinig echte inhoud
Reageer
CH4OS
@karma417 februari 2026 15:15
De beste stuurlui staan altijd aan wal. ;)
Reageer
Nyarlathotep @D.nukem17 februari 2026 12:31
Dat krijg je dus als je dit soort accounts niet verder dicht zet. In dit geval kun je dus zien dat wachtwoorden van de betreffende accounts een te lange geldigheid hebben. Een one time password voor dit soort accounts zou veiliger zijn. Eventueel een OTP. En een beperking op van welke machines je met dit account kan aanloggen.
Dit valt allemaal onder Priviliged Access Management, en het lijkt er op dat dit bij Odido niet of onvoldoende goed is ingericht.

Maar eens te meer wordt keihard duidelijk dat in het hele toegangsproces de mens nog altijd de zwakste schakel is.
Reageer
SirLenncelot @Nyarlathotep17 februari 2026 12:54
Alles aan elkaar geknoopt middels SSO zeker dus dan hoeft men maar 1 inlog te social engineeren om toegang te hebben.

Wat ik veel opvallender vind is dat met zo'n inlog blijkbaar ook de download van miljoenen gegevens opgezet kan worden. Dan lijkt het toch alsof ze een inlog hebben weten te bemachtigen van een admin of beheerder die verregaande rechten in systemen heeft.
Reageer
THM0 @SirLenncelot17 februari 2026 13:14
Of gewoon nul aandacht voor risico mitigatie en ‘defense in depth’.
Reageer
karma4 @Nyarlathotep17 februari 2026 15:10
Service deskmedewerkers normaal gangbaar werk met klanten, wat heb ik gemist?
Nee een OTP vor privileged accounts werkt niet ze hadden het toch met MFA afgescherm?
Lijkt eerder een overdaad aan MFA requests zodat de actie en herkomst niet meer duidelijk is.
Reageer
DealExtreme2 @D.nukem17 februari 2026 12:52
Waarom moet een medewerker die gegevens uberhaupt zien? Zoals paspoortnummer en rekeningnummer? Of de klant zegt; klopt dat van dit rekeningnummer wordt afgeschreven? Medewerker voert in en krijg terug ja of nee. Of de medewerker kan het rekeningnummer veranderen. Maar waarom zou een medewerker het moeten zien? Van iedereen? In een lijst?

Totaal onnodig. En eigenlijk net zo met andere persoonsgegevens. Los nog van logging en scraping (wat dan niet meer echt kant).
Reageer
Mathijs Kok @DealExtreme217 februari 2026 13:23
Waarom moet een medewerker die gegevens uberhaupt zien?
Omdat de hackers zo slim waren om een account van een databeheerder te hacken? Natuurlijk heb je in een systeem accounts die alles kunnen zien; ware dat niet zo, had je de data niet nodig. Daarnaast worden paspoortnummer en rekeningnummer telefonisch regelmatig gebruikt ter legitimatie.
Reageer
DealExtreme2 @Mathijs Kok17 februari 2026 13:52
Voor legitimatie hoef je het dus NIET te zien. Dat is de denkfout die wellicht daar ook is gemaakt. De klant zegt iets, de medewerker toetst het in en krijgt rood of groen(en evt het nummer).

Dus nee, er zijn slechts heel weinig, if any, medewerkers die die data echt hoeven te zien. Ze moeten het wel kunnen controleren, maar dat is iets anders - dan voer je in de laatste 6 cijfers van wat je wil controleren (bijv.) en krijg je het te zien als het matcht. En zo niet, dan kun je het wijzigen naar wat je wil.
Reageer
TechSupreme @D.nukem17 februari 2026 12:57
Odido heeft ook zelf toegegeven dat als de hackers alle gegevens een voor een hadden gedownload, het dan was opgevallen.

Het gaat of om een bestand (export) of wat Odido zegt is dat ze de gegevens van enkele klanten hebben ingezien en daar screenshots hebben gemaakt voor ze eruit zijn getrapt. Volgens mij weet Odido op dit moment zelf nog niet wat de omvang is, of ze weten het maar willen het niet exact uitleggen.
Reageer
HaydenNL @D.nukem17 februari 2026 13:19
Ik heb ooit de samenvoeging van Vodafone en Ziggo (en nog wat kleinere merken) mogen begeleiden als externe consultant. Ik kreeg zonder enige mate van controle toegang tot alle klantgegevens en kon, als ik zou willen, met hun gehele klantenbestand naar buiten lopen. Dat verbaasde me toen al en nu nog steeds, hoe laks bedrijven zijn met beveiliging rondom (externe) medewerkers.

Mijn vriendin is werkzaam bij de IT-afdeling van een grote gemeente, daar doet ze o.a. logging-controles om te zien of mensen informatie opzoeken die niet bij hun functie behoort. Elke keer komen daar toch weer voorbeelden uit van datamisbruik.

Kortom, als men de kans heeft, dan zal men het niet nalaten om dit soort gegevens te raadplegen. Het zij uit nieuwsgierigheid, het zij met kwade bedoelingen. Dichttimmeren is het enige wat werkt maar dat kost, zoals hier al eerder benoemd, vaak geld wat men niet uit wil geven.
Reageer
computerjunky @HaydenNL17 februari 2026 14:13
Tja zo heb ik voor meerdere internationale concerns wat IT taken gedaan. Het is grappig hoe naïef bedrijven zijn maar dat is niet zo vreemd want thuis zijn deze mensen net zo naïef. Admin accountjes bijmaken, overboekingen inplannen, alle gegevens kopiëren het had allemaal gekund.

Nog leuker was dat ik bij 1 klant in Amsterdam gewoon de kluis in kon lopen waar letterlijk pellets met geld en goud lagen en om te testen kregen we alle gegevens van de bankrekeningen met vele miljoenen wat destijds lang niet zo goed beveiligd was als nu.

Volgens mij voelen mensen makkelijk afstand naar iets dat niet van hun zelf is. Maar aan de andere kant moet je ook mensen vertrouwen want iemand moet het doen als je het zelf niet kan doen.
Reageer
evilhomer87 @D.nukem17 februari 2026 14:13
inderdaad heel bijzonder.
Stel je kan maar 40 pulls uit de database halen per uur was de schade veel lager.
Reageer
karma4 @D.nukem17 februari 2026 15:02
Dit is de contradictie in het gehele gebeuren. Aannames van een incident response externe partij dan wel FG die beweert dat als een enkel iets onterecht ingezien is het meteen voor alles moet gelden.

En nee een onbetrouwbare medewerker is niet van te voren vast te stellen. Als we weten dat ze bestaan moet in dezelfde redenering aangehouden worden dat allen medewerkers onbetrouwbaar zijn.
Het wonderlijke met de AVG uitleg van de AP is dat ze beide veronderstellingen gelijk waar en onwaar aanmerken zoals het in de ophef even uitkomt. Dat is geen goede basis voor iets werkbaars nog voor recht.
Reageer
Wouterie 17 februari 2026 12:27
Handig weer. Er wordt door iedereen en aan alle kanten gezegd dat 'jouw persoonlijke gegevens' waardevol zijn en dat er alles aan gedaan moet worden om het veilig te bewaren... Maar in de praktijk zijn de regels onduidelijk (waarom zijn er geen keiharde regels over bewaartermijnen?) is de aansprakelijkheid onduidelijk, is de definitie van schade onduidelijk, is het überhaupt onduidelijk of er gevolgen zijn verbonden aan een datalek... Wat moet een mens hier nou mee?

ALS Odido nou voldoet aan de wet- en regelgeving en de mensen tijdig heeft heeft gewaarschuwd en de noodzakelijke maatregelen heeft getroffen etc, dan kunnen ze er verder ook niet zo gek veel meer aan doen. Maar als blijkt dat ze toch ergens nalatig of te makkelijk zijn geweest, dan moeten daar wel gevolgen aan verbonden kunnen worden en niet alleen wanneer iemand aantoonbaar schade heeft geleden.

Men is immers in dat geval onzorgvuldig met de gegevens van (ex)klanten omgegaan en dat mag niet alleen maar het probleem zijn van de mensen die het betreft, maar ook van het bedrijf wat zorgvuldig met die data om zou moeten gaan.

Compensatie zou niet alleen over schade moeten gaan, maar ook over vertrouwen. Als blijkt dat Odido/Ben niet voldaan hebben aan de mooie beloften en toezeggingen, dan is het vertrouwen beschaamd. Wat is dat waard? Hoeft niet per se in keiharde Euro's maar laat maar zien Odido.
Reageer
CAPSLOCK2000
@Wouterie17 februari 2026 12:51
Ik denk dat we het vooral heel zakelijk moeten aanpakken, oftewel wel met keiharde euro's. Vertrouwen klinkt mooi maar is uiteindelijk vooral een gevoel als het niet op een of andere manier gegarandeerd wordt. Vrijwel alle vragen zoals hoe dit heeft kunnen gebeuren, waarom Odido deze heeft, waarom er niet meer maatregelen zijn genomen etc komen er uiteindelijk op neer dat dit financieel gezien de beste keuze is (of leek).
Odido achteraf straffen is niet echt een goede oplossing, de data is al weg en Odido is ook slachtoffer. We kunnen beter zorgen dat het vooraf financieel gunstig is om extreem voorzichtig met data om te gaan. Ik pleit wel eens voor een soort databelasting of verzekering waarbij bedrijven moeten betalen voor iedere bit persoonlijke informatie die ze bewaren. Dat geeft een directe financiele prikkel om zo min mogelijk data te bewaren. Daarnaast kunnen we het geld gebruiken om slachtoffers te compenseren zonder ingewikkelde rechtszaken om schade aan te tonen.
Reageer
Standeman @CAPSLOCK200017 februari 2026 14:03
Niet alleen zo min mogelijk, maar zeker ook zo kort mogelijk!

Zodra er verificatie van het BSN/ID-bewijs/CC is afgerond, kan je alle data gelijk naar /dev/null sturen. Natuurlijk moet je sommige data vanwege de Belastingdienst c.q. wetgeving bewaren, dus die gegevens zou je kunnen uitsluiten.

Met een beetje mazzel draaien we dan gelijk het verdienmodel van sociale media de nek om }>
Reageer
Wouterie @CAPSLOCK200017 februari 2026 14:32
Helemaal mee eens. Stel nou dat we de persoonlijke data van Nederlandse staatsburgers bestempelen tot staatseigendom? Dan hoeft niet iedere burger achter dit soort bedrijven aan te gaan, maar gaat de Staat zich ermee bemoeien.

Aan de andere kant heb ik niet zo'n hoge pet op van het doortastend vermogen van de Staat.
Reageer
Boefmans @Wouterie17 februari 2026 12:56
Dat vertrouwen is veel waard. Open deur maar toch, benieuwd hoeveel klanten al zijn overgestapt.
Reageer
Wouterie @Boefmans17 februari 2026 14:33
Tja, ik denk dat Odido dit wel gaat voelen... Maar is het een rede om het contract te ontbinden?
Reageer
Pilovali @Wouterie17 februari 2026 15:18
Nee, dan zou je moeten afkopen. Of niet vast zitten aan een contract.
Reageer
targaryanwolf @Wouterie17 februari 2026 15:45
Waarom? het is nu toch al te laat. Je kunt overstappen naar de concurrent, laat jij ze dan eerst contractueel beloven dat er bij hun geen datalek zal plaatsvinden?
Reageer
Boefmans @targaryanwolf17 februari 2026 17:00
Ik ga niet overstappen l, lijkt mij idd weinig zin hebben. Het is alleen wel iets wat veel mensen nu doen.
Reageer
PjotrX @Wouterie17 februari 2026 14:36
Je kan niet dezelfde regels opstellen voor alle bedrijfen, het is heel erg maatwerk. En als je gaat proberen om alles in categorieën te verdelen dan blijf je maar bezig. Het is aan AP om in te springen als bedrijfen zichzelf te makkelijk maken met bijvoorbeeld de bewaartermijnen, en dat is in het verleden ook wel gebuurt. En het is ook aan de AP om in te springen als bedrijven dan hun eigen regels overschrijven. Dat inspringen kan ook gewoon in keiharde euro's gaan.
Reageer
MSalters @Wouterie17 februari 2026 15:07
Sorry maar dit verhaal rammelt nog meer dan de data beveiliging van Odido.

Om een voorbeeld te nemen van de onzin: "Compensatie zou niet over de schade moeten gaan". Huh? Compensatie voor geleden schade zou niet over de schade moeten gaan? Dat is letterlijk het enige waar dat over gaat. Dat is de exacte betekenis van het woord. Als je zelfs dat weghaalt dan blijft er niets over.

Zijn de regels onduidelijk? Ik snap dat niet iedereen de vaardigheden bezit om Functionaris Gegevensbescherming te zijn. Maar goed, niet iedereen heeft de vaardigheden om dokter te zijn. Sommige dingen zijn nu eenmaal moeilijk.

Is de definitie van schade onduidelijk? We hebben meer dan een eeuw aan jurisprudentie. Elke rechtenstudent leert erover. Als je het nu over bewijs had, soit, dan kan onduidelijk zijn. De definitie is het niet.
Reageer
Tegengeluidjes 17 februari 2026 12:23
Persoonsgegevens van miljoenen klanten liggen op straat. Gevoelige data, waaronder NAW-gegevens, geboortedata, IBAN en in sommige gevallen zelfs legitimatiegegevens. Dat risico ligt volledig bij de klant: identiteitsfraude, phishing, financiële schade, terwijl de oorzaak evident bij de Odido ligt.

Resultaat:

• Data gelekt → risico bij klant
• Schade aantonen → taak van klant
• Causaal verband bewijzen → taak van klant

Terwijl de klant geen enkele invloed heeft gehad op bewaartermijnen, beveiligingsniveau of interne processen. Formeel juridisch zal het wel allemaal kloppen, maar voelt als een scheve verdeling van lasten en risico's.
Reageer
computerjunky @Tegengeluidjes17 februari 2026 14:07
Als mensen nu nog in phishing en shit trappen na 30 jaar moeten we ons toch eens gaan afvragen of er niet en online certificate moet komen waarna je pas informatie mag verwerken online en een rank 2 waarna je financiële zaken mag afhandelen online.
Met deze informatie kunnen ze namelijk helemaal niets tenzij je zelf ongelooflijk naïef of onwetend ben.

Ik maak me er niet eens zorgen om want ik weet dat ik al die spam en dergelijke gewoon links laat liggen. als ik geen mail verwacht open ik het niet eens. Mail mag van mij vervangen worden voor iets anders want het is 95% spam 4,9% mails die ik eigenlijk niet wil ontvangen en 0.1% mails die ik zelf veroorzaak.

Uiteindelijk liggen al deze gegevens van mensen al tig keer op straat als je even haveibinpawned bekijkt. Als je zelf niet als een blinde kip op linkjes gaat klikken gebeurt er niets.
Reageer
Boefmans @computerjunky17 februari 2026 17:03
Ik denk dat de discussie daar dus ook niet over gaat.

We hebben regels afgesproken..grote bedrijven hebben data van ons en moeten daar adequaat mee omgaan.
Dat doen ze niet.
Want aantonen van schade is vrijwel onmogelijk en de handhavers handhaven niet. Dus het risico nemen dat dit gebeurd lijkt goedkoper dan de boel goed dichttimmeren.
Een feitelijke vergoeding voor data die op straat komt zou best een sterk middel kunnen zijn.

Enkel naam? 1 euro. Adres: 3 euro. Combi van beiden: 6 euro. Weet ik veel, Bedenk iets.
Reageer
Mektheb @Tegengeluidjes17 februari 2026 14:34
Klopt bizar, daarom ook alles weggehaald bij deze Club, druppel ja
Reageer
HoppyF @Tegengeluidjes17 februari 2026 14:45
Inderdaad.
De problemen op de klant afschuiven is ook juridisch gezien onjuist.
Leg het probleem waar het hoort bij Odido.
Laat Odido maar bewijzen dat de klantgegevens NIET misbruikt kunnen worden.
De klant schade laten bewijzen is de omgekeerde wereld.
Bij hacken IS er schade tenzij.
Reageer
MSalters @HoppyF17 februari 2026 15:13
Geloof me, na de Box3 ellende is er in Den Haag 0 belangstelling voor dit soort juridische luchtfietserij. Er komt echt geen Nederlandse wet die stelt dat de aangeklaagde partij in een civiele zaak de geclaimde schade moet weerleggen. Dat eindigt met een succesvol beroep op Europees recht, en als Den Haag dat toch probeert dan kost dat ze miljarden. D
Reageer
HoppyF @MSalters17 februari 2026 15:21
Of politiek Den Haag wat doet zal me een worst zijn.
Gaat om de ontstane schade en die is er.
Je ziet nu al grote commotie landelijk om deze hack. Het is niet alleen hier op Tweakers.
Ik hoop dat er een advocaat opstaat die op basis van no-cure-no-pay gaat procederen.
Het gaat mij niet eens om het schadebedrag al was het maar €1.
Het gaat er vooral om hoe grote bedrijven als Odido ermee omgaan.
Odido zal immers niet het laatste bedrijf zijn wat klantengegevens heeft laten lekken.
Dat Odido in de slachtofferrol dreigt te kruipen is al helemaal niet prettig.
Reageer
MSalters @HoppyF17 februari 2026 16:31
Ik zal nog wat duidelijker zijn dan. Den Haag zou actie moeten ondernemen omdat jouw idee momenteel kansloos is.


Geen advocaat zal een kansloze zaak beginnen op no-pay basis. (De no-cure is namelijk gegarandeerd)
Reageer
Floort 17 februari 2026 12:24
Ik merk dat het artikel er een beetje omheen schrijft. Maar ik zal het wat explicieter maken, om te beginnen met artikel 82(1) van de AVG:
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
Dat heeft drie belangrijke elementen:
  1. De "inbreuk op deze verordening". Dat wil zeggen een overtreding. Niet het slachtoffer zijn van hackers. Een concrete overtreding. Ik lees speculatie over nalatigheid en bewaartermijnen. Maar dit moet concreet gemaakt worden.
  2. De "ten gevolge van". Dat wil zeggen dat je causaliteit moet aantonen. Dat is vaak lastig, maar de praktijk zal vooral afhangen van wat precies de overtreding is geweest en hoe de schade is ontstaan. In de praktijk zal je bovendien waarschijnlijk zien dat er meerdere gezamelijke oorzaken zijndie je samen zult moeten beoordelen.
  3. De "materiële of immateriële schade". Dat wordt volgens mij al duidelijk benoemd in het artikel, maar ik wilde volledig zijn in mijn opsomming.
Ik heb het gevoel dat die schade er misschien wel is, maar dat de wens om een schadevergoeding te krijgen betekent dat mensen gaan terugredeneren of er misschien ook sprake is geweest van een overtreding. En ook erger: ik heb voorbeelden gezien van mensen die de overtreding volledig overslaan en meteen al mensen aanmoedigen om schadevergoedingen te claimen. Dat is voorzichtig gezegd niet de meest zorgvuldige aanpak.

De voorspelling dat de AP hiermee misschien wat gaat doen is wel wat simpel. In 2024 (meest recente publieke data) heeft de AP bij 11.024 meldingen verdiepend toezicht gehouden (vervolgvragen gesteld). Daarvan is er over nul meldingen een publiek besluit genomen. Dat is dus ook niet bruikbaar om schadeclaims in te dienen. Ook is het strategisch voor de AP en voor de naleving van de meldplicht niet handig als de AP streng toezicht houdt op degenen die wel netjes melden zolang ze dat niet doen bij degenen die niet melden. Ik hoop dan ook van harte dat de AP prioriteit geeft aan de datalekken die men onder de pet probeert te houden. Maar dat is geen garantie, want historisch gezien is de AP wel strenger geweest op melders. De voorspelling in het artikel is echter wel wat kort door de bocht.

Edit: Ik lees her en der ook wel wat onvrede over de communicatie bij Odido en ik weet niet wat de specifieke overwegingen zijn bij Odido, maar: Ik zie tegelijkertijd mensen vragen om transparantie die verder gaat dan wat minimaal wettelijk verplicht is en ook mensen die opjutten om alle beetjes informatie gebruiken als aanleiding om mensen aan te moedigen om schadeclaims te starten. Ik denk dat het belangrijk is om te beseffen dat de roep om schadeclaims de risico's als gevolg van transparantie enorm vergroot. De houding richting Odido kan Odido en ook anderen ontmoedigen om transparant te zijn en sommige verwerkingsverantwoordelijken kunnen zelfs hierdoor besluiten om (waarschijnlijk onrechtmatig) de AP en betrokkenen helemaal niet meer te informeren. Mijn zorg is dat de ophef nu misschien schadelijker is dan de mogelijke positieve effecten van schadevergoedingen op de beveiliging.

[Reactie gewijzigd door Floort op 17 februari 2026 14:25]

Reageer
Naafkap 17 februari 2026 12:06
Ik blijf erbij dat ik het onbestaanbaar vind als Odido geen enkele verantwoordelijkheid neemt voor klanten die schade ondervinden of gaan ondervinden. De bewijslast ligt kennelijk bij de consument. Hoe moet je als consument bewijzen dat schade is ontstaan door het datalek? Dat is niet te doen. De consument wordt dan ernstig gedupeerd met mogelijk zeer grote gevolgen.


Het wordt mijns inziens hoog tijd dat hier wat aan gaat veranderen. Voor Odido is er nauwelijks risico en dus geen enkele prikkel om veiligheid serieus te nemen en daar fors in te investeren.


Zeer kwalijk allemaal.
Reageer
fruitbakje @Naafkap17 februari 2026 12:33
De bewijslast ligt kennelijk bij de consument aanklager Hoe moet je als consument bewijzen dat schade is ontstaan door het datalek? Dat is niet te doen. De consument wordt dan ernstig gedupeerd met mogelijk zeer grote gevolgen.
Hoe wil je het juridisch anders aanpakken? Als iemand schade heeft vanwege identiteitsfraude, per definitie Odido als de schuldige aanwijzen omdat die ooit gegevens heeft gelekt? Zo van, als je iemand dood ziet liggen, dan is de dichtstbijzijnde andere persoon per definitie de moordenaar omdat die in de buurt is...?

Godzijdank moet je als klagende partij eerst bewijs leveren. Als het andersom is, en iedereen kan iedereen aanklagen en de verdedigende partij moet zichzelf maar vrij zien te pleiten, dan wordt het toch een chaos lijkt me...

En tsjah, dat het in dit geval lastig aan te tonen is, dat kan Odido zelf ook niet eens veranderen. En laten we eerlijk zijn, er zijn al zoveel persoonsgegevens gelekt, hoe weet jijzelf nou eigenlijk zeker dat het door de gelekte gegevens van Odido kwam?
Reageer
Boefmans @fruitbakje17 februari 2026 12:59
Vergelijk het met de luchtvaart. Als je vlucht langer dan ... vertraagd is (etc) dan krijg je ... geld (of iig recht op). Daarmee haal je de bewijslast van geleden schade weg. Maw, wetgeving hierop zou kunnen helpen. Ik denk dat de prikkel 'geld' wel goed werkt voor dit soort bedrijven. Stel de wet zou zeggen: bij een datalek waarbij (alles wat nu gelekt is) kost het dit, bij een datalek van dat kost het zus etc.
ALs dit een 10tje per klant zou zijn, gaat het al om 60miljoen. (ik denk dat ze nu een paar miljoen schade hebben overigens)
Reageer
fruitbakje @Boefmans17 februari 2026 13:13
Ja ik vind dat prima klinken. Maar een tientje per klant, het is dan echt een boete voor het bedrijf, niet een schadeloosstelling voor het slachtoffer. Als je het hebt over 'verantwoordelijkheid nemen' en 'schade ondervinden' waar @Naafkap het over had, dan heb je het over iemand aansprakelijk maken voor geleden schade toch?

Als jij een aansluitende vlucht mist (die je apart hebt geboekt) door de door jou genoemde vertraging, dan wordt die schade niet door de vertraagde-vlucht-maatschappij betaald. Of als je reservering van je hotel verliest, enzovoorts. Althans, voor zover ik weet. Ik heb een keer vertraging gehad, en dan krijg je €10 ofzo om eten op het vliegveld van te kopen ofzo.
Reageer
Daoka @fruitbakje17 februari 2026 14:40
Ik ben het zeker met je eens dat het oneerlijk zou zijn. Maar aan de andere zouden bedrijven dus nooit bang hoeven zijn om data te lekken aangezien het dus onmogelijk is voor de consument dit te bewijzen in de meeste gevallen. Dit lijkt mij ook niet de bedoeling.

Voor mij gevoel zou er een gulle middenweg moeten zijn. Bijvoorbeeld 5 tot 10 euro per gelekte data tot een max bedrag van bijvoorbeeld 100 euro of tot bijvoorbeeld 1% jaarlijkse omzet / winst zodat een bedrijf niet gelijk failliet gaat. En bij bijvoorbeeld ID kaarten (+ kosten als je kan bewijzen dat je een nieuwe gehaald hebt wanneer het echt nodig is (dus niet om even gratis te kunnen vernieuwen)) en onbeveiligde wachtwoorden meer. Natuurlijk wel met mogelijkheid om later ook meer te kunnen krijgen als je het wel kan bewijzen en schade hebt. Uiteraard zal het kunnen verschillen voor kleinere en grotere bedrijven bijvoorbeeld. En dat bij nalatigheid het bedrag kan verhogen. Zo hebben bedrijven ieder geval wel een risico en hebben consumenten toch een kleine vergoeding.
Reageer
Lisadr @Naafkap17 februari 2026 12:20
Toezichthouder AP kan een boete van 4% van de omzet geven (ongeveer 100 miljoen euro), dan zal Odido en elke andere grote organisatie privacy serieuzer nemen. Toezichthouder RDI kan ze een boete van 2% van de omzet geven (ongeveer 50 miljoen euro). Dan zal Odido en elke andere grote organisatie security serieuzer nemen.

Realiteit is dat toezichthouders zelden een boete geven (vaak een waarschuwing) en als ze een boete geven, is dit zeer beperkt en dus geen prikkel voor verandering.
Reageer
PixelPionier @Lisadr17 februari 2026 12:26
Ik vind 1000,- per getroffen klant eigenlijk veel eenduidiger.
Reageer
RetroMan @PixelPionier17 februari 2026 12:42
Daar voorziet de wetgeving niet in, dus dit is voor deze case "wishful thinking".
Reageer
PixelPionier @RetroMan17 februari 2026 13:09
Lijkt me goed om dat in de wet te zetten. Zeker weten dat dat soort bedrijven dan wel fatsoenlijke met onze gegevens om gaan!
Reageer
BezurK @PixelPionier17 februari 2026 12:43
Ik vermoed alleen dat 6 miljard euro wel einde Odido is, dan.
Reageer
Boefmans @PixelPionier17 februari 2026 13:00
6 miljard, einde odido dan :-D
Reageer
twkr18526 @Lisadr17 februari 2026 12:28
Dat zou een manier zijn om Odido te straffen.

Het is een grote fout van het bedrijf dat ze (in mijn geval), wel mijn gegevens hebben bewaard (Odido mails gekregen). Ondanks dat ik al jaren geen klant meer ben van T-Mobile.

En zelf kan ik mijn eigen gegevens niet inzien, als ik inlog op Mijn Odido (password reset met email adres). Ze wekken daarmee de indruk dat ze geen gegevens van mij hebben, behalve email adres. Je kan na inloggen niets zien: geen facturen, adres, rekeningnummer etc.

Én toch zijn die via Odido gelekt. Verder zijn er ook andere hieronder/boven benoemde proces fouten gemaakt, naast de individuele fouten van medewerkers.
Reageer
RogerWilco2 @twkr1852617 februari 2026 12:52
Mogelijk is in jouw geval alleen het mail adres gelekt?

De mail die ik van Odido kreeg was daar niet heel specifiek over.
Reageer
Muna34 @Lisadr17 februari 2026 13:10
Ik zou inderdaad ook graag zien dat Odido tot actie en transparantie toegezet wordt. Als klant, en daarmee getroffen persoon gaat het mij niet zozeer om een persoonlijke vergoeding. Al steekt het me wel dat Odido geen enkele centimeter toenadering naar haar klanten zoekt. Het is niet dat we het hier over een kleine hack hebben. Dit is een van de grootste datahacks die wij hier in Nederland hebben gezien.

De gelekte informatie is netjes verpakt (als in, een compleet profiel van de personen) zodat deze klaar is om gebruikt te worden. Deze informatie zal vanaf nu over het internet zwerven. Als Odido niet tot een voorbeeld gemaakt wordt vrees ik voor erger. Overgens vind ik het ook belangrijk welke concrete acties Odido nu gaat ondernemen om beter te beloven.

Odido hoeft hier zeker niet aan ten onder te gaan maar ze mogen wel even het vuur voelen. En dan bedoel ik niet de mensen van de klantenservice die je vriendelijk te woord staan maar de eindverantwoordelijken en de mensen die hier daadwerkelijk iets aan kunnen veranderen.

De communicatie is ook pijnlijk summier - alsof ze zelf niet doorhebben wat de schaal van de situatie is.
Reageer
QuintMidas @Muna3417 februari 2026 13:56
Odido hoeft hier zeker niet aan ten onder te gaan maar ze mogen wel even het vuur voelen. En dan bedoel ik niet de mensen van de klantenservice die je vriendelijk te woord staan maar de eindverantwoordelijken en de mensen die hier daadwerkelijk iets aan kunnen veranderen.
Je beseft je dat het juist die vriendelijke klantenservicemedewerkers zijn geweest die dit veroorzaakt hebben?
Volgens de NOS kon de hack plaatsvinden doordat individuele klantenservicemedewerkers werden gephisht. Na het stelen van wachtwoorden wisten de criminelen zich succesvol voor te doen tegenover de klantenservicemedewerkers als ict'ers van Odido. Daardoor konden ze de tweetrapsauthenticatiecodes van de werknemers stelen.
In het eerdere Tweakers-artikel wordt, via een citaat van de NOS, expliciet vermeld dat individuele klantenservicemedewerkers zijn gephisht. Nadat hun wachtwoorden waren buitgemaakt, hebben zij zelfs 2FA-codes doorgegeven aan iemand die zich voordeed als interne IT. Daarmee is de aanval verder mogelijk gemaakt.

Dat is geen obscure zero-day of extreem geavanceerde aanvalstechniek. Phishing en het principe “deel nooit je wachtwoord of authenticatiecode, met niemand” zijn inmiddels al decennia basale veiligheidsregels. Die boodschap wordt niet alleen richting consumenten gecommuniceerd, maar zeker ook binnen professionele organisaties.

Dit is nadrukkelijk niet bedoeld om de fouten van Odido als bedrijf goed te praten, want die zijn er zonder twijfel ook (Denk aan de inrichting van processen, authenticatiemiddelen, monitoring en dataretentie). Maar de volledige schuld uitsluitend bij de eindverantwoordelijken neerleggen is het andere uiterste. Individuele verantwoordelijkheid verdwijnt niet zodra iemand in loondienst is of vriendelijk is aan de telefoon. Zeker in een sector waar met gevoelige klantdata wordt gewerkt, mag je verwachten dat medewerkers fundamentele beveiligingsprincipes kennen en naleven.

Security is niet alleen een kwestie van techniek en beleid, maar ook van persoonlijke discipline. Als we dat aspect volledig wegrelativeren en alles uitsluitend bij “het systeem” neerleggen, doen we alsof menselijke keuzes geen rol spelen — terwijl ze hier aantoonbaar onderdeel van de keten waren.
Reageer
Muna34 @QuintMidas17 februari 2026 14:21
Dat doe ik ook niet en je begrijpt me verkeerd. Ik snap wat er gebeurd is. Alleen ik ga niet kwaad aan de lijn hangen met Odido en de klantenservice persoonlijk op die manier aanspreken. Tevens zijn er zeker meer zaken die niet op orde zijn.
  • De access via een medewerker account (of al zou het zelfs via een administrator gaan) in general
  • Het ontbreken van authorisatie wanneer access nodig is bij het benaderen gevoelige informatie
  • Uberhaupt dat al deze informatie centraal staat in een klantencontact systeem zoals Zendesk
  • Het ontbreken van monitoring op verdachte activiteiten (denk bijv. aan endpoint security of api monitoring)
Tuurlijk, medewerker maakt een fout. Die is menselijk. Alleen de rest van de aanval was vanaf dat punt wel heel makkelijk en de buit ongekend groot. En de bovengenoemde punten zijn echt geen wilde zaken.

Een voorbeeld: Tijdens mijn belletje met de klantenservice worden er vragen gesteld waarvan de klantenservice het antwoord al weet om 'mijn identiteit als klant' vast te stellen. Je zou je uberhaupt moeten afvragen of ze dit op deze manier moeten aanvliegen. Een klantnummer gepaard met een tweede verificatie via bijv, chat/email zou voldoende moeten zijn lijkt me. Mij werden de volgende vragen gesteld om dit vast te stellen.
  • Postcode, Huisnummer
  • Telefoonnummer op abbo
  • Een telefoonnummer wat ik vaak bel
  • Hoeveel de laatste factuur had afgeschreven

[Reactie gewijzigd door Muna34 op 17 februari 2026 14:27]

Reageer
Quinz @Naafkap17 februari 2026 12:28
Dat deze (gevoelige) data is gelekt is een kwalijke zaak, maar dat betekent niet dat de beveiliging niet op orde is. Odido is ISO 27001 gecertificeerd en dat betekent dat er nodige beveiligingsrisico's zijn geïdentificeerd en dat daar adequate beveiligingsmaatregelen voor zijn getroffen. Deze beveiligingsmaatregelen worden jaarlijks gecontroleerd door een onafhankelijke auditor. De maatregelen lopen uiteen van fysieke, organisatorische en technologische aard.

De kwaadwillende zijn in het systeem gekomen via de zwakste schakel: de mens. Geheel het risico uitsluiten resulteert in een onwerkbare situatie voor de medewerkers van Odido. Er zal dan ook, na de genomen maatregelen, een restrisico overblijven. Dit restrisico wil je natuurlijk zo klein mogelijk houden.

Wat we wel kunnen stellen is dat de organisatie data in bezit had waar het geen recht (meer) op had. Daarnaast was het mogelijk voor medewerkers om buiten de gewenste scope toegang te krijgen tot persoonsinformatie (in bulk!). Deze twee punten zou bij een (goede) audit resulteren in een minor bevinding (en mogelijk intrekken van de certificering).

In de aankomende cyberbeveiligingswet zit een hoofdelijke aansprakelijkheid. Dit betekent dus dat er een daadwerkelijk een noodzaak is voor bedrijven om maatregelen te nemen te nemen.

Het is dan ook niet geheel terecht om te concluderen dat de beveiliging niet op orde was.

[Reactie gewijzigd door Quinz op 17 februari 2026 12:30]

Reageer
Naafkap @Quinz17 februari 2026 12:31
Hoewel je gelijk hebt, voel ik toch een grote onrechtvaardigheid. De consument kan serieuze schade lijden buiten zijn schuld om. Daar wordt in mijn ogen te weinig aandacht aan besteed te makkelijk weggewuifd als aanvaardbaar risico.
Reageer
mjtdevries @Naafkap17 februari 2026 12:42
Odido heeft ook serieuze schade buiten haar schuld om. Want vóór dit datalek vonden we allemaal 2fa wel goed en zou niemand hier hebben aangegeven dat hackers makkelijker met social engineering door 2fa heen kunnen breken.
Niemand zou roepen dat je nalatig bent geweest met je beveiliging als je 2fa gebruikte.
Reageer
Croqy @mjtdevries17 februari 2026 12:48
Het lek heeft aanzienlijk grotere impact, omdat Odido tegen de regels mbt bewaartermijn in gegevens langer dan nodig heeft bewaard, waardoor ook gegevens zijn gelekt die Odido niet meer had mogen hebben. Daar zit dus wel degelijk een schuld.
Reageer
mjtdevries @Croqy17 februari 2026 12:51
Er zijn geen regels die stellen hoe lang de bewaartermijn moet zijn.
Die termijn bepaal je als bedrijf zelf. Je hoeft alleen maar te zorgen dat je daar een valide onderbouwing voor hebt.
Reageer
Croqy @mjtdevries17 februari 2026 13:07
https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/bewaren-van-persoonsgegevens
Reageer
grq @mjtdevries17 februari 2026 13:09
En zij hebben gekozen voor twee jaar, maar hebben gegevens veel langer bewaard. Ik weet niet of dat juridisch nog wat uitmaakt, maar toch.
Reageer
GeleFles @mjtdevries17 februari 2026 13:12
Dat is het probleem ook: Odido zegt dat ze een bewaartermijn van 2 jaar hanteren, echter zijn er veel berichten van klanten die al 3+ jaar weg zijn en alsnog een mail hebben gekregen. (en die hadden geen openstaande betalingen of support vragen uitstaan)

Dat betekend dat ze zich niet houden aan hun security policy (en dus ISO certificering). Mijn inziens zijn ze dan nalatig geweest.
Reageer
E!Ma0RB7 @Naafkap17 februari 2026 12:59
Vergeet niet dat wij als consument heel erg veel voordelen hebben van de restrisico's die Odido namens ons neemt. Als we uitsluitend risico averse organisaties gaan toestaan is internet niet te betalen of mogelijk helemaal niet meer beschikbaar, omdat geen enkele organisatie die garantie kan bieden.

En vergeet ook niet dat jij als consument ook zelf kiest om internet te gebruiken.
Reageer
RetroMan @Quinz17 februari 2026 12:48
Dank voor deze nuancering, die hier tegenwoordig helaas ver is te zoeken. "Het is een groot bedrijf en DUS willen ze alleen winst en DUS hebben ze bezuinigd op security en DUS willen we een schadevergoeding, pas DAN snappen ze het" is helaas nogal eens de strekking. Lekker kort door de bocht. En nee, ik heb geen andere relatie tot Odido dan dat ik ook klant van ze ben, ook slachtoffer van het lek ben en desondanks graag gebruik maak van hun snelle en goedkope internetaansluiting en uitstekende klantenservice (gebaseerd op meerdere persoonlijke ervaringen en vergeleken met eerdere andere aanbieders).
Reageer
DR!5EQ @Naafkap17 februari 2026 12:44
Ik vind het ook bizar dat de bewijslast bij de consument ligt. Het is voor mij heel simpel. Odido heeft het nagelaten om mijn gegevens te beschermen. Het datalek heeft zodanige gevolgen dat ik mijn recht op privacy (artikel 10 van de grondwet) niet meer heb. Het is niet meer mijn keuze. Mijn gegevens liggen op straat. Nu snap ik ook wel dat Odido mijn en al die andere persoonsgegevens niet heeft neergelegd voor het oprapen, maar ze zijn wel ernstig tekortgeschoten in het beschermen er van. Het is niet voor iedereen is weggelegd om toegang te hebben tot datalekken, maar dankzij dit lek is het wel mogelijk dat mijn e-mailadres (waar mijn voornaam+achternaam of andere persoonsgerelateerde informatie niet in voor komt) onlosmakelijk gekoppeld kunnen worden aan mijn persoonsgegevens. Dankzij Odido.
Reageer
MSalters @DR!5EQ17 februari 2026 16:37
De bewijslast ligt niet meer bij de klanten als de ACM hier een boete voor geeft.

Overigens heb je alsnog dan in een civiele zaak de verplichtingen om je eisen te onderbouwen. Wil je schade vergoed hebben? Dan moet je die aannemelijk maken. En Art 10 GW is niet zo gedetailleerd dat daar een bedrag staat.
Reageer
redslow @Naafkap17 februari 2026 12:40
Niet alleen klanten ook oud klanten. Die al een jaar niet meer bij Odido zitten zijn het slachtoffer omdat dit soort bedrijven de data twee jaar lang bewaren.
Reageer
Mathijs Kok @Naafkap17 februari 2026 13:28
Hoe moet je als consument bewijzen dat schade is ontstaan door het datalek? Dat is niet te doen. De consument wordt dan ernstig gedupeerd met mogelijk zeer grote gevolgen.
Het lijkt me dat als jij 'gedupeerd word met zeer grote gevolgen' je dat wel kan zien en kan aantonen. En het lijkt me niet meer dan logisch dat de wet (niet Odido) vereist dat je schade kan aantonen voor je compensatie krijgt. Zoals je hebt kunnen lezen kan die schade zelfs geestelijk zijn.
Reageer
mission @Naafkap17 februari 2026 15:06
Als je niet kunt bewijzen dat je schade geleden hebt, heb je dan wel schade geleden?
Reageer
Kruitdamp 17 februari 2026 12:21
Ik krijg nu al mailtjes binnen dat ik in Canada een bankrekening heb geopend :'( en of ik even via de mail dit kan bevestigen
Reageer
Miyamoto @Kruitdamp17 februari 2026 12:45
Die kreeg je waarschijnlijk eerder ook al. Zover bekend zijn de gegevens nog niet gebruikt. Men wil waarschijnlijk de gegevens ten gelde maken, dat doe je niet door ze binnen één week te gebruiken.
Reageer
Kruitdamp @Miyamoto17 februari 2026 12:58
Het aantal spam/dubieuze berichten was de laatste juist minimaal. Dit bericht kwam ook vanuit het officiële domein van de betreffende bank (vinkje bij het mailadres).
Reageer
Marrtijn 17 februari 2026 12:25
Ik ben klant van Odido en ik heb begrip dat er fouten gemaakt worden. Een gegevenslek kan inderdaad gebeuren en als daar fatsoenlijk op gereageerd zou zijn kan ik daar begrip voor hebben.


Odido heeft echter gekozen voor een mediastrategie waar de verantwoordelijkheid wordt afgescheept en waar de prioriteit vooral het beschermen van de eigen bottom line is, en dat heeft me laten inzien dat ik geen klant meer wil zijn van dit bedrijf.
Reageer
RetroMan @Marrtijn17 februari 2026 12:55
Enorm veel succes gewenst bij de concurrent. Geeft die 100% veiligheidsgaranties?
Reageer
Marrtijn @RetroMan17 februari 2026 13:24
Lees anders nog eens, het gaat niet om de veiligheidsgarantie maar het gaat om de reactie van Odido.
Reageer
PanaLover 17 februari 2026 12:23
Ik zag vanmorgen op RTL nieuws dat bovengemiddeld veel klanten hun contract bij Odido hadden opgezegd. Dat gaan ze zeker merken. Een charme offensief zoals iedereen een vast bedrag teruggeven zal best wel werken. Hun kop in het zand steken en zeggen dat ze niets hoeven te vergoeden zal hun situatie zeker niet verbeteren.
Reageer
Faloude @PanaLover17 februari 2026 13:21
Heb je hier een bron voor? Ik wacht al dagen lang op dit soort berichten. Ik ben echt heel erg benieuwd in hoeverre dit klantengedrag aanstuurt. Veel mensen leven nog in een "ach ze weten toch al alles van me" sfeer.
Reageer
Miyamoto @PanaLover17 februari 2026 12:43
Dat ging om "een paar honderd", dat merken ze niet.
Reageer
ep667 @Miyamoto17 februari 2026 13:30
De meeste mensen zitten vast in een contract, dus kunnen ook helemaal niet weg.

Dat dit wegens nalatigheid, het mogelijk niet nakomen van de eigen privacyverklaring en het leveren van een wanprestatie gevoelsmatig anders zou kunnen zijn, doet daar niets aan af.
Reageer
ShadLink @ep66717 februari 2026 13:50
Mijn contract was gelukkig reeds afgelopen en had al een aanbieidng voor verlenging gekregen. Dat gaat dus niet gebeuren en ga naar een andere provider overstappen.
Reageer
SkRNinjaBlade 17 februari 2026 12:07
Gelukkig waarschuwen ze ons nu voor het opletten op klikken van links en dergelijke. In mijn ogen is dat al op zichzelf bewijs dat ze dondersgoed beseffen hoeveel last een gemiddelde klant heeft. Dit gedoe heeft mij ook laten overstappen, puur uit principe alleen al dat er geen compensatie beschikbaar wordt gesteld en ze dat zo vroeg kunnen roepen. Zonder te weten wat de schade nu precies is. Iedereen handjes er van af en laat Jesus het stuur overnemen.
Reageer
A4553 17 februari 2026 12:15
'Volgens Meindersma bestaat er geen vaste maximale bewaartermijn voor persoonsgegevens. Bedrijven hebben een goed onderbouwde reden nodig om persoonsgegevens te bewaren.'

Volgens de AVG is er inderdaad geen bewaartermijn, maar wel staan er in andere wetten bewaartermijn die prima als leidraad (hadden) kunnen dienen. Bijvoorbeeld belastingwet: zeven jaar administratie (de debiteuren- en crediteurenadministratie, de in- en verkoopadministratie en het grootboek) om fiscale reden bewaren en daarna de handel wissen. Naar mijn idee kon/kan dat ook uitstekend geautomatiseerd worden. Er is in mijn beleving ook geen enkele reden om kopieën paspoort of ID-bewijs zo lang te moeten bewaren. Ik mag hopen dat dit nog een staartje krijgt voor Odido vanuit bijv. AP.

Ik raad daarnaast iedereen aan de KopieID app te gebruiken van de overheid als je ooit weer 'verplicht' een kopie paspoort/ID moet afgeven. Die app lakt automatisch gevoelige data weg en laat je een watermerk aanmaken zodat duidelijk is waarvoor de kopie is afgegeven en wanneer. Het voorkomt het lekken van je data natuurlijk niet maar kan de schade erna wel beperken.
Reageer
TWeaKLeGeND @A455317 februari 2026 12:27
Providers schermen al exact die gegevens af bij het maken van de kopie.
Reageer
mjtdevries @A455317 februari 2026 12:35
En welke indicatie heb jij dat ze kopieën paspoort of ID-bewijs uberhaupt bewaren en dan ook nog eens heel lang?
Een nummer van een ID-bewijs is geen kopie.
Reageer
ep667 @mjtdevries17 februari 2026 12:59
Odido geeft zelf aan deze te bewaren. Dat ze nu niet gelekt zijn, doet daar niets aan af.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq