Door Yannick Spinner

Redacteur

Feedback • 02-03-2026 18:00 218

Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf

02-03-2026 • 18:00

218

hoofdstuk

Als je net als ongeveer 6 miljoen Nederlanders slachtoffer bent van het Odido-datalek, kan dat een gevoel van overweldiging en machteloosheid geven. Eerst was er de dreiging van het datalek, daarna de daadwerkelijke, gevreesde openbaring ervan. Getroffenen krijgen geen schadevergoeding en een massaclaim is onwaarschijnlijk. Gelukkig worden slachtoffers blij gemaakt met een dode mus. Eigenlijk zit er dus niets anders op dan balen. Althans, er is nog een optie: de gelekte gegevens zelf downloaden en controleren op je gegevens. Maar dat is hartstikke illegaal, ook voor eigen gebruik.

Odido datalek download

Goede bedoeling doet er niet toe

Iedereen die het gevreesde mailtje van Odido of Ben kreeg, is natuurlijk benieuwd of zijn of haar gegevens erin staan, en wellicht nog belangrijker: welke gegevens precies. De melding van het datalek door de bedrijven is alleen doorspekt met het woord 'mogelijk', dus zeker weten welke van je gegevens op straat liggen is in feite onmogelijk.

'Het overnemen van niet-openbare gegevens is strafbaar.'Dat zou tot voor kort alleen kunnen door met de Tor-browser of een alternatief het darkweb te betreden en de gegevens direct van de cybercriminelen te downloaden. Inmiddels zijn de gegevens ook gemakkelijker verkrijgbaar. Hoe dan ook, helaas is dat volgens ict-jurist Arnoud Engelfriet hartstikke illegaal, zo zegt hij tegen Tweakers. "Het overnemen van niet-openbare gegevens is strafbaar als je weet of redelijkerwijs kon vermoeden dat ze uit misdrijf verkregen zijn." Dat het gaat om een misdrijf, is in dit geval hopelijk wel duidelijk.

Waarschijnlijk wil vrijwel ieder slachtoffer gewoon weten welke gegevens er van hem of haar in de dataset staan en zijn er geen kwade bedoelingen bij het binnenhalen van de persoonsgegevens van de overige 6.499.999 Odido-klanten. Toch is dat juridisch geen geldig argument: "Voor gegevensheling (onder artikel 138c en 139 van Wetboek van Strafrecht) is misbruik van de gegevens niet vereist", aldus Engelfriet. Met andere woorden, wat je bedoelingen ook zijn, het is gewoon niet toegestaan om gestolen gegevens te downloaden.

Wat is openbaar?

Nu kun je je volgens Engelfriet afvragen of de gehackte Odido-gegevens niet-openbaar zijn. "De wetgever heeft niet duidelijk gemaakt wanneer data openbaar is, tenzij het een van deze twee extreme gevallen is: een URL is slechts bij een besloten groep bekend (niet openbaar) of de website is direct via Google te vinden (wel openbaar)."

Omdat het waarschijnlijk gaat om het grootste datalek uit de Nederlandse geschiedenis, zijn er per definitie veel mensen bij betrokken. Daarom zijn er veel mensen die de gegevens downloaden en delen. De datasets zijn inmiddels vrij gemakkelijk te vinden via Google en de directe URL's naar downloadpagina's worden op fora gedeeld. Daarmee vervaagt de lijn van wat oorspronkelijk een niet-openbare (of in ieder geval zeer moeilijk vindbare) dataset was.

Tools bieden beperkte oplossing

Om het plegen van een misdrijf te voorkomen, zijn er gelukkig wat tools die datalekken voor je checken. De bekendste is waarschijnlijk Have I Been Pwned van ontwikkelaar Troy Hunt. Na het invoeren van een e-mailadres zoekt de tool in een enorme database of het adres genoemd wordt in miljoenen gelekte bestanden.

Odido-datalek Have I Been PwnedEr is ook een alternatief van de Nederlandse politie: Check je hack. Helaas staat het datalek van Odido vooralsnog niet in de database van Check je hack. Op de website staat: "U kunt hier (nog) geen check doen op de gelekte data van Odido." In een statement aan Tweakers laat de politie weten dat de gegevens 'op korte termijn' in de tool worden verwerkt.

De twee tools hebben hoe dan ook een schrijnende tekortkoming. In beide gevallen krijgen getroffenen alleen te horen dát ze slachtoffer zijn. Welke gegevens er precies gestolen zijn, laten de diensten niet weten. Have I Been Pwned toont welke gegevens er in de totale dataset vindbaar zijn, maar laat niet per individueel slachtoffer weten welke gegevens van dat individu erbij zitten. Het kan zomaar zijn dat alleen je e-mailadres bij Odido gestolen is, maar geen bsn. Dat is met de vermelde tools helaas niet uit te vogelen.

Wacht, waarom mogen zij wél gestolen data downloaden?

Nu voelt het wellicht een beetje hypocriet dat een aanbieder van Have I Been Pwned of de Nederlandse politie wél data mag downloaden en indirect delen. Engelfriet legt uit: "Er is een uitzondering voor publicatie in het algemeen belang, waarmee de pers wordt beschermd. HIBP voldoet ook aan deze uitzondering gezien haar maatschappelijke positie, nog los van dat zij vanuit Australië opereert en dus buiten de Nederlandse rechtsmacht opereert."

Illegale tools

De wet probeert vooral te voorkomen dat mensen het heft in eigen handen nemen. Dat zag Tweakers onlangs veelvuldig gebeuren. Meer dan tien tweakers stuurden de afgelopen dagen zelfgemaakte zoektools in. Die zijn in beginsel illegaal, omdat de maker daarvoor gegevensheling heeft moeten plegen. Daarnaast is de veiligheid van deze tools moeilijk te verifiëren, dus is er een risico op de verdere verspreiding van de gestolen gegevens.

De voorbeeldtool Have I Been Pwned verkeert alleen in hetzelfde grijze gebied. Hoezo zou die tool van maker Troy Hunt dan wél mogen bestaan? Kort door de bocht: dat mag eigenlijk ook niet. Maar Hunt is voor zover bekend dermate betrouwbaar, dat zijn tool – die hij grotendeels in de openbaarheid ontwikkelt – bij wijze van spreken gedoogd wordt. Zeker omdat die website al ruim een decennium bestaat en zeer invloedrijk is, weegt het maatschappelijk belang zwaarder dan de letter van de wet.

Dat geldt gevoelsmatig minder voor vergelijkbare tools van onbekende mensen. Er zijn wel degelijk andere tools die op een vergelijkbare manier werken, zo schreef Tweakers eerder. Maar uiteindelijk is de afweging meer een gevoelskwestie dan een concrete overweging van welke tools wel en niet acceptabel zijn.

In een statement tegen Tweakers licht het Nederlandse Openbaar Ministerie verder toe waarom individuen – ongeacht de waarschijnlijk goede bedoelingen – het beste kunnen wegblijven van de gestolen gegevens: "Door in gelekte datasets te grasduinen vergroot je de schade voor de slachtoffers. Er is daarnaast een groot risico dat data verder wordt gedeeld en dat gegevens op veel meer plekken terechtkomen. Door die verspreiding neemt ook het risico op bijvoorbeeld identiteitsfraude toe. Verder kan het onder omstandigheden tot andere strafbare feiten leiden, denk bijvoorbeeld aan doxing."'Door in de gelekte datasets te grasduinen vergroot je de schade voor slachtoffers.'

Je gaat waarschijnlijk niet de bak in

Nu is de hamvraag voor in ieder geval meer dan tien tweakers: is er een kans dat je de bak in gaat als je de dataset downloadt? Dit is allesbehalve juridisch advies, maar het mag duidelijk zijn dat de hackers die de gegevens hebben gestolen de echte criminelen zijn. Het OM zegt daarover: "Het onderzoek van het Landelijk Parket richt zich voor nu hoofdzakelijk op de criminelen die verantwoordelijk zijn voor de hack bij Odido."

De instantie waarschuwt wel dat het gebruik – en vooral misbruik – van de gestolen dataset van Odido 'in bepaalde vormen strafbaar kan zijn'. Daartegen wil het OM naar eigen zeggen ook optreden, maar het is onwaarschijnlijk dat een individuele downloader bestraft wordt. Of het moreel verantwoord is om voor je eigen geruststelling de gegevens van anderen te downloaden, dat is een andere kwestie.

Daarmee zitten slachtoffers, zoals ze in het Engels zeggen, 'tussen een rots en een harde plek'; er is simpelweg geen legale manier om erachter te komen welke van je gegevens er bij het datalek betrokken zijn. Het onbevredigende legale antwoord is dus: wees waakzaam voor eventuele phishing en andere fraude; meer kun je eigenlijk niet doen.

Redactie: Yannick Spinner • Eindredactie: Marger Verschuur

Lees meer

17 feb 2026

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

298
Let op: uw wachtwoord is gehackt

23 apr 2021

Let op: uw wachtwoord is gehackt

Zo werken 'datalek-databases'

60
Interview: Troy Hunt - Have I Been Pwned

29 jan 2021

Interview: Troy Hunt - Have I Been Pwned

'De Adobe-breach kwam precies goed uit'

124
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen
Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen Nieuws van 27 februari 2026
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming
Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
Meer producten en artikelen
Politiek en recht Privacy Datalek Have I Been Pwned Odido

Reacties (218)

-Moderatie-faq
218
207
167
6
0
24
Wijzig sortering

Sorteer op:

Weergave:
KnoxNL 2 maart 2026 18:07
Maar er is toch gewoon een manier om daar achter te komen die legaal is?

Namelijk Odido vragen alle gegevens en correspondentie en andere zaken die ze over jou in hun bezit hebben aan te leveren, en aan te geven welke daarvan gelekt zijn?


Zij weten dat gewoon en bij een opvraag MOET een bedrijf daaraan meewerken voor zover ik weet.
Reageer
robertwebbe @KnoxNL2 maart 2026 19:28
Alleen per papieren post aan te vragen:

https://assets.odido.nl/x...-persoonsgegevens-itv.pdf
Reageer
WargamingPlayer @robertwebbe2 maart 2026 19:38
Is ook te mailen.
Reageer
PWR. @WargamingPlayer2 maart 2026 20:39
Dat lijkt mij heel erg sterk. Er is geen email adres bekend van Odido
Reageer
tiies @PWR.2 maart 2026 20:44
Staat op het formulier: persoonsgegevens@odido.nl
Reageer
sir_knudde @tiies2 maart 2026 20:50
En dan krijg je na een week de volgende reactie, ook als je het formulier hebt bijgevoegd aan het verzoek:


Bedankt voor je bericht.

We begrijpen dat je graag wil weten welke persoonsgegevens wij precies van je bewaren.

Veel gegevens vind je in Mijn Odido. Wil je een volledig overzicht ontvangen? Dan kan je een inzageverzoek indienen. We vragen je om hier ons formulier voor te gebruiken. Bij het invullen stellen we een paar vragen om je identiteit te checken.

Je vindt het formulier op https://www.odido.nl/service/brochures-en-formulieren onder ‘Aanvraagformulieren privacy’. Zodra we het ingevulde formulier van je hebben ontvangen, nemen we het in behandeling en sturen we je zo snel mogelijk een reactie.

Alle beschikbare informatie over het incident kan je vinden op de webpagina https://www.odido.nl/veiligheid.

We zijn er voor je,
Mike van Odido
Reageer
WargamingPlayer @sir_knudde2 maart 2026 21:33
Het probleem is dat je dus al je gegevens moet geven om de informatie te verkrijgen. Catch-22 situatie dus. En ik heb die formulieren bekeken en je krijgt dus niet de informatie waar je naar op zoek bent.

De enige oplossing is om via een rechter dus de informatie boven water te krijgen.
Reageer
WargamingPlayer @PWR.2 maart 2026 21:18
Op het formulier staat het e-mail adres.
Reageer
PWR. @robertwebbe2 maart 2026 20:33
Dan ga je naar superpost en binnen 5 minuten en een ideal betaling heb je een papieren brief met verzend bevestiging.
Reageer
HijDieAllesWeet @PWR.2 maart 2026 21:28
Ik wist niet dat dat kan! Laatst nog echt lang bezig geweest. Naar de printshop en dan nog ergens enveloppen gaan kopen waarvan je er dan ook gelijk een heel pak hebt die nooit opgaan. Dat je online een postzegel kan kopen wist ik dan nog wel.

En ik had me eigenlijk ook wel kunnen bedenken dat dit tegenwoordig helemaal online kon eigenlijk maar ik wist het niet. Superpost ziet er echt superhandig uit en nog goedkoop ook. Dit ga ik zeker onthouden mits ik ooit nog een papieren brief moet sturen.
Reageer
HarmJan1990 @robertwebbe2 maart 2026 21:27
Leuk formulier, maar wat als je geen klant meer bent?
Reageer
SilentLucidity @HarmJan19902 maart 2026 22:05
Ja. Dan zal ik toch echt eers de leak moeten downloaden om daar mijn oude klantnummer in te kunnen vinden :+
Reageer
Dj Neo Ziggy @robertwebbe2 maart 2026 19:57
Laat ik maar niet denken aan de terugstuur actie van de cd met gratis internet actie van x jaar geleden.
Reageer
TouW @robertwebbe2 maart 2026 22:36
Alleen per papieren post aan te vragen:

https://assets.odido.nl/x...-persoonsgegevens-itv.pdf
Het formulier hoeft niet per post. Onderaan staat:

"Mail het formulier naar persoonsgegevens@odido.nl. Of stuur het per post: Postbus 16272, 2500 BG, Den Haag."

Overigens ben je wettelijk niet verplicht dit formulier te gebruiken. Een inzageverzoek onder de AVG is vormvrij: een e-mail naar persoonsgegevens@odido.nl volstaat, zolang je vermeldt dat het om een inzageverzoek gaat (art. 15 AVG) en voldoende gegevens meestuurt om je identiteit te verifiëren.
Reageer
pagani @KnoxNL2 maart 2026 18:42
Als ze mijn gegevens vele jaren na mijn vertrek nog hebben én ik geen mail krijg dat mijn gegevens gestolen zijn én ik inmiddels weet dat er wel data van mij gelekt is (maar niet welke), hoeveel vertrouwen heb je dan dat Odido überhaupt in staat is AL mijn gegevens aan te leveren?
Reageer
WillySis
@pagani2 maart 2026 19:00
Odido heeft de meldingen naar het laatst bij hun bekende email adres gestuurd. Als je dat niet meer gebruikt kon Odido je niet bereiken.

Als jij nog voldoende gegevens hebt waarmee Odido jouw gegevens terug moet kunnen vinden, dan heb je ook het recht om die gegevens op te vragen. Odido is dan ook verplicht om alle gegevens aan jouw ter beschikking te stellen. Of de interne meldingen daar ook bij horen is nog een bron van discussie. Bedrijven vinden dat dat niet bij jouw gegevens hoort, maar hun eigen communicatie is.
Reageer
The Zep Man
@WillySis2 maart 2026 19:24
Odido heeft de meldingen naar het laatst bij hun bekende email adres gestuurd. Als je dat niet meer gebruikt kon Odido je niet bereiken.
Ik weet van meerdere bestaande en voormalige klanten waarvan hun (bestaande) e-mailadressen en andere gegevens zijn gelekt, dat Odido met hen geen enkel contact heeft gezocht.
Reageer
WillySis
@The Zep Man2 maart 2026 19:34
Ik ben een oude klant en heb wel bericht gehad.
Het kan natuurlijk dat het bericht in de spam terecht is gekomen. Als dat ook is gecontroleerd, dan is een melding bij de AP niet overdreven, want een gehackt bedrijf moet wel enige moeite doen om (mogelijk) betrokken klanten te informeren.

Odido heeft zich op meerdere vlakken niet aan de wet gehouden (oa bewaartermijn) en het zou mij ook niet verbazen als ze niet alle klanten van wie de gegevens zijn gelekt op de hoogte hebben gesteld.
Reageer
sapphire @WillySis2 maart 2026 19:56
Mijn partner is oud klant van Ben, heeft al 20 jaar het zelfde e-mail adres, is al meer dan 2 jaar weg daar, heeft geen mail gehad maar volgens haveibeenpowned staat i.i.g. haar e-mail adres wel in de data van de hack.

Heel erg slordig van Odido!
Reageer
maikoool @WillySis2 maart 2026 20:26
Ik zit ook in het lek via Ben, ben daar al 10 jaar klant denk ik ondertussen (en nog steeds). Geen enkele melding van Ben of Odido gekregen. Wel van Mozilla Monitor, en ik kon mijzelf op HIBP ook terugvinden in het Odido lek.
Reageer
R4gnax
@WillySis2 maart 2026 20:41
Het kan natuurlijk dat het bericht in de spam terecht is gekomen. Als dat ook is gecontroleerd, dan is een melding bij de AP niet overdreven, want een gehackt bedrijf moet wel enige moeite doen om (mogelijk) betrokken klanten te informeren.
In dat geval is een melding bij de AP in praktisch elk geval waar Odido niet met bestaande klanten gecommuniceerd heeft, terecht.

Ze kunnen namelijk altijd met bestaande klanten communiceren als deze een mobiel abo of prepaid hebben. Dat heet: stuur een SMS bericht.

En ze kunnen altijd met bestaande klanten communiceren als deze een glasvezel abo hebben. Dat heet: stuur een brief naar het huisadres van de aansluiting.

[Reactie gewijzigd door R4gnax op 2 maart 2026 20:42]

Reageer
valvy @WillySis2 maart 2026 19:33
Ik ben al minstens zes jaar bij ze weg. Geen melding gekregen van ze. Ik heb de hack uiteindelijk vernomen via haveIBeenpowned.

Hoe kan het dat haveIBeenpowned wel me op de hoogte kan stellen, maar Odido niet? De avg heeft toch ook een plicht tot informeren bij een hack?

Odido is gewoon illegaal bezig nu! Wat een bende
Reageer
WillySis
@valvy2 maart 2026 19:39
Ik ben al acht jaar weg, en ook bij de hack betrokken. Ik heb ook netjes een email van Odido gehad.

Wat de bewaartermijn betreft was Odido inderdaad illegaal bezig (en dat zal nog wel een staartje krijgen). Bij het melden aan (mogelijk) betrokkenen lijken ze vooral slordig te zijn. Of dat onder illegaal of verwijtbaar valt weet ik niet, maar ze lijken inderdaad niet volledig aan de wet te voldoen.
Reageer
kr4t0s @WillySis2 maart 2026 21:23
Ik ben ook al heel lang weg bij Odido (toen nog t-mobile) al zeker 8-10 jaar. Ik kreeg wel mailtje van Odido en ook van Mozilla privacy monitor toen boel gelekt was.
edit: in mijn mail gegraven sinds Aug 28, 2017 geen klant meer.

[Reactie gewijzigd door kr4t0s op 2 maart 2026 21:27]

Reageer
Netburst @WillySis2 maart 2026 19:29
Ik hoor van een vriend dat ik in de lek zit en heb niets gehoord. Ik hoop niet dat ze naar mijn @tmobilethuis.nl-adres hebben gestuurd.
Reageer
pagani @WillySis2 maart 2026 19:32
Het mailadres waarmee ik een positieve match vind in de hack is mijn dagelijkse mailadres. Niets van een oud mailadres, en ik heb de T-Mobile/Odido adressen nooit gebruikt.
Reageer
smiba @WillySis2 maart 2026 19:37
Ik sta in het datalek en heb geen enkele mail van odido ontvangen..

Ja het email adres werkt nog
Reageer
NBK @WillySis2 maart 2026 22:28
Ik ben nog klant bij Odido en ze hebben van mij een recent mailadres. Dit kon ik ook verifiëren via have I been pwned want sinds de hackers data hebben vrijgegeven duikt mijn mailadres daar plotseling wel op en voorheen niet. Ze hebben ook mijn mobiele nummer dus ze zouden ook kunnen bellen of een sms kunnen sturen. Ik heb nog geen woord van ze vernomen!

[Reactie gewijzigd door NBK op 2 maart 2026 22:28]

Reageer
Snake_NL @pagani2 maart 2026 19:04
Precies dezelfde situatie hier. Jaren weg ( internet ) en 6maanden weg ( telefonie ).

Geen enkele mail van odido, maar ik zit wel in hibp. Ik heb 0 vertrouwen dat Odido eerlijk gaat zijn
Reageer
sypie @pagani2 maart 2026 19:55
Dan is dit een mooie test: de data opvragen en de overhandigde data door Odido vergelijken met jouw data die in de gestolen dataset zit.
Reageer
kdekker @KnoxNL2 maart 2026 19:15
Terechte vraag, maar... Als je last hebt (gehad) van een lek, ligt de prioriteit eerst bij het opsporen (forensisch onderzoek) en oplossen (als je weet te achterhalen waar alle lekken zaten). Het is ook maar de vraag of 100% deugdelijk te achterhalen is welke gegevens allemaal zijn gekaapt. Je hebt niet overal transactie of audit-logs van. Als ze eenmaal binnen zijn geweest via social engineering (en daar lijkt het nu op, als ik de berichtgeving lees), dan is het maar zeer de vraag of dit te achterhalen is. Hoe dan ook: ze zullen een afweging moeten maken tussen klanten en hun interne IT-infrastructuur.

Klanten kunnen best veeleisend zijn en onvoldoende oog hebben voor - hoe rottig ook voor de klant en onzekerheid over wat er nu gelekt is - de impact die een hack heeft een bedrijf heeft. Als de personen die de informatie voor de klant aan moeten leveren dezelfde zijn als die betrokken zijn bij de interne analyse, dan komen ze gewoon even handjes tekort.

Ik pleit niet voor Odido. Met de beperkte informatie die gedeeld is, lijkt het er mogelijk op dat ze dingen beter hadden kunnen doen. Overigins zei ooit iemand in security land ooit (lang geleden, weet ook niet meer wie): het is niet de vraag dat kwaadwillenden bij je binnen komen, maar wanneer. Dus daarom hoor je ook in je interne netwerk en infrastructuur segmentering toe te passen. Of dat ook mogelijk is voor een klantendatabase, dat is natuuurlijk een vraag. En ook al zou je segmentering en goede afbakening van rechten hebben, dan nog is het maar de vraag of je via auditing op bijv. je database de gevraagde antwoorden kunt geven. Als je complete DB gekopieerd is, zijn er geen audit records van de hackers.

Dus zelfs al zou het zijn dat een bedrijf juridisch verplicht is om te moeten meewerken (ik weet op dit vlak onvoldoende of dit ook echt zo is), dan nog is dat altijd in 'redelijkheid'. Dus bijv. binnen een redelijke termijn (waar bijv. een overheid het lang niet altijd lukt om bijv. de termijnen van WOO verzoeken te halen. Meestal zijn dat soort termijnen ook niet ingesteld om zeer grote aantallen verzoeken). Kortom: je kunt geen organisatie inrichten voor 'verzoek om antwoord' als dat een heel groot deel van je klantenbestand is.
Reageer
hans-martijn @kdekker2 maart 2026 20:36
Als jouw complete database gekopieerd is, heb je in ieder geval niet gemonitord, want een willekeurige medewerker heeft als het goed is niet de mogelijkheid of behoefte om zoveel data in één keer te downloaden. Dit is daadwerkelijk (zeker na alle waarschuwingen van hun eigen leverancier) grove nalatigheid van Odido en zou tot in ieder geval een torenhoge boete vanuit de AP moeten leiden. Ondanks dat ik tot nu toe best tevreden was met de service, zou ik het liefst nu al mijn abonnementen opzeggen. Odido heeft geen enkele moeite gedaan om mijn persoonlijke data te beschermen. Eerst niet met veilige opslag, daarna niet met een half miljoen om de schade te beperken. Zo ongeveer iedere actie van Odido is ernstig teleurstellend!
Reageer
kdekker @hans-martijn2 maart 2026 21:17
Veel systemen hangen aan internet en hebben lang niet altijd een upload limiet. Als iemand binnen is en voldoende rechten heeft, dan is een upload doorgaans niet ingewikkeld en monitoring niet in beeld, iig doorgaans niet voor wat ik zie en mee werk. Bij grote(re) bedrijven zit mogelijk wel endpoint protectie en zijn limieten van toepassing. Maar dat vergt doorgaans dure hardware/software. Budgetten voor veiligheid zijn lang niet altijd toereikend. Ik weet te niet in hoeverre onkunde of budget of laksheid oorzaak is voor gebrekkige of niet optimale beveiliging. Waarschijnlijk is het te vaak een mix 😉.
Reageer
Houtenklaas @kdekker2 maart 2026 21:58
Je somt exact op wat er mis zat. Waarom hangt dergelijke informatie aan het internet? Dat het risicovol is hebben we al ondervonden. Daarnaast, wat is een "groter" bedrijf? In 2024 groeide de Odido omzet naar 2,3miljard. Dat is niet kinderachtig toch? Dan is iets wat voor mij "duur" is ineens relatief betaalbaar voor Odido. En dan word je gewaarschuwd en doe je daar (ogenschijnlijk) ook niets mee.

En nee, het is echt niet nodig om een kantooromgeving aan het internet te koppelen, daar zijn veel "best practices" voor hoe dat heel veel handiger kan. Maar dat is allemaal mosterd na de maaltijd. Odido heeft simpelweg groots en meeslepend gefaald. In alles. En als "onkunde" de oorzaak zou zijn van deze faalactie, dan is dat alleen maar NOG erger. Bewust onbekwaam is het ergste wat iemand of iets kan zijn.
Reageer
GuruMeditation @kdekker2 maart 2026 22:16
Een bedrijf met minstens 6 miljoen (oud) klanten, mag zich toch wel tot een van van de grotere bedrijven noemen.
Reageer
jigalvh @kdekker2 maart 2026 20:58
Het is ook maar de vraag of 100% deugdelijk te achterhalen is welke gegevens allemaal zijn gekaapt. Je hebt niet overal transactie of audit-logs van. Als ze eenmaal binnen zijn geweest via social engineering (en daar lijkt het nu op, als ik de berichtgeving lees), dan is het maar zeer de vraag of dit te achterhalen is.
Als ik zie welke gegevens ze hebben gestolen dan verwacht ik inderdaad niet dat er gelogd wordt wat er wordt geraadpleegd door wie.
Klanten kunnen best veeleisend zijn en onvoldoende oog hebben voor - hoe rottig ook voor de klant en onzekerheid over wat er nu gelekt is - de impact die een hack heeft een bedrijf heeft.
Ja, hoe rottig het voor het bedrijf is dat z'n zaakjes niet op orde had (heeft). U legt de lat wel laag voor het "getroffen" bedrijf. Dat bedrijf had invloed op de beveiliging, hun klanten hadden dat niet. Het betreft hier ook nog een ISP en die zou beter op de hoogte moeten zijn van beveiliging en de methodes van hackers. Als ik dan de vertegenwoordiger van Odido hoor praten over "siebercriminelen" dan werd het niveau van dit bedrijf meteen duidelijk.
Ik pleit niet voor Odido. Met de beperkte informatie die gedeeld is, lijkt het er mogelijk op dat ze dingen beter hadden kunnen doen. [...] Dus daarom hoor je ook in je interne netwerk en infrastructuur segmentering toe te passen. Of dat ook mogelijk is voor een klantendatabase, dat is natuuurlijk een vraag.
Naast segmentering gaat het vooral over gegevens die een helpdeskmedewerker moet kunnen verifiëren. Daarvoor is het niet nodig om die gegevens ook te zien. Ze hadden in het systeem wat kunnen inbouwen waarmee alleen wordt aangegeven of de ingevoerde gegeven (bijv. rekeningnummer) juist is.

Daarnaast vraag ik mij af waarom ze sommige gegevens überhaupt hadden. Bij de ISP's en mobiele providers waar wij de afgelopen jaren mee te maken hebben gehad werd niet gevraagd om gegevens als BSN en identiteitsbewijzen.

Ook de bewaartermijn is volgens mij "een dingetje". Al moet je gegevens als adres, bankrekening nog een tijd voor administratieve doeleinden (belastingdienst) bewaren, dan nog hoeft dit niet in een systeem voor een helpdesk.
En ook al zou je segmentering en goede afbakening van rechten hebben, dan nog is het maar de vraag of je via auditing op bijv. je database de gevraagde antwoorden kunt geven. Als je complete DB gekopieerd is, zijn er geen audit records van de hackers.
Kijk eens naar de (mislukte) inbraakpoging bij TU Eindhoven. Hoewel de hackers een aantal dagen konden rondkijken werd het wel direct opgemerkt toen ze bij gevoelige gegevens probeerden te komen. Het hele netwerk werd direct uitgeschakeld en stukje bij beetje na controle ingechakeld. Het was geen perfecte bescherming, maar er was voldoende geregeld om ernstige schade te voorkomen.

Bij veel instellingen in de gezondheidszorg is behoorlijk strak geregeld wie waartoe toegang heeft en mensen met meer toegang moeten regelmatig verantwoorden waarvoor ze gegevens nodig hadden.

Als het dan niet opvalt bij Odido dat een bepaalde medewerker zes-en-een-half-miljoen accounts raadpleegt dan zit er echt iets niet goed. Dat is geen slorigheid, dat is ernstige nalatigheid. De reacties van diverse advocaten zijn ook tenenkrommend. De AVG zou niet duidelijk zijn wat betreft een bewaartermijn? Nee, er staat niet in "een half jaar", maar wel: niet langer dan noodzakelijk. Gegevens van ex-klanten kunnen gearchiveerd worden; als er nog nota's open staan is het voldoende dat de financiële afdeling nog gegevens heeft.
Reageer
kdekker @jigalvh2 maart 2026 21:10
Er zat inderdaad genoeg mis bij odido. Mijn reactie is meer dat informeren van de klant in zo'n geval als deze niet de eerste prioriteit heeft. Noodgedwongen. Verder vergoelijk ik niets van Odido, maar schort ik mijn oordeel op. Ook in dezen staan de beste stuurlui vaak aan wal. Wel hoop ik dat Odido flink aangepakt wordt, als er sprake is van verwijtbaar handelen (ze hebben de schijn tegen), ook als afschrikking naar anderen. Ik weet ook heel zeker dat er meer bedrijven zijn, waar de zaken niet op orde zijn en AVG-gevoelige zaken opgeslagen worden.
Reageer
FreezeXJ @KnoxNL2 maart 2026 18:18
Wat ze daar echt weten of willen weten is mij onbekend, maar het zou zomaar kunnen dat ze er gewoon naast zitten. Laten we het zo zeggen, alleen als je bevestiging krijgt dat je gelekt bent heb je zekerheid, anders blijft het gokken... Heeft Odido alles wel scherp? Heeft Shinyhunters inderdaad alles gepost, of houden ze daar nog dingen achter? Ik vertrouw beide partijen net zo ver als ik ze kan schoppen, dus voorlopig neem ik maar aan dat er vrij veel gelekt is.
Reageer
xoniq @FreezeXJ2 maart 2026 18:38
Heeft Shinyhunters inderdaad alles gepost,
Nee ze hebben dingen achterwege gelaten. Onder andere wat Odido intern heeft genoteerd bij jou profiel. Of je bijvoorbeeld dronken was, of je agressief bent, of dreigend bent etc. Ook zulke interne notities (een profiel over jou als persoon) is ook gelekt maar achtergehouden.
Reageer
The Zep Man
@xoniq2 maart 2026 19:26
Nee ze hebben dingen achterwege gelaten. Onder andere wat Odido intern heeft genoteerd bij jou profiel. Of je bijvoorbeeld dronken was, of je agressief bent, of dreigend bent etc.
Een geanonimiseerde screenshot op Dumpert/GeenStijl met verzamelingen van opmerkingen van servicedeskmedewerkers toont aan dat wat je schrijft niet klopt.

[Reactie gewijzigd door The Zep Man op 2 maart 2026 19:26]

Reageer
xoniq @The Zep Man2 maart 2026 19:29
Is een artikel op Tweakers wel betrouwbaar genoeg?

nieuws: Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wi...
Die aantekeningen in het gehackte klantcontactsysteem lopen uiteen van instructies om extra op te letten omdat de ex van een klant zich voordeed als die klant, tot notities als 'gaat door een moeilijke periode' en 'Klant lijkt onder invloed te zijn tijdens het bellen. Is door winkel (...) uit de zaak verwijderd en heeft gedreigd daar de boel kort en klein te slaan'. Verder is in de gegevens te zien welke klanten een bewindvoerder hebben en dus onder curatele staan, meldt de NOS.
Dus wat heeft dit met Dumpert of welke andere paupersite te maken?

[Reactie gewijzigd door xoniq op 2 maart 2026 19:29]

Reageer
Patriot @xoniq2 maart 2026 19:58
Daar staat toch niet dat dit is achtergehouden door ShinyHunters? Uit het feit dat die gegevens door derden (geanonimiseerd) gepubliceerd zijn blijkt juist dat het niet is achtergehouden.
Reageer
xoniq @Patriot2 maart 2026 20:08
Odido-hackers publiceren opnieuw deel klantgegevens - https://nos.nl/l/2604172
Voordat de hackers gegevens begonnen te publiceren, stuurden ze een een deel van de gestolen data naar de NOS als bewijs. In de inmiddels gepubliceerde bestanden hebben ze e-mailadressen en telefoonnummers grotendeels achtergehouden. Maar in de gegevens staan ook aantekeningen over het contact van Odido-abonnees met de klantenservice.
Ik heb het deels verkeerd gelezen, ze hebben telefoonnummers en emailadressen achtergehouden. Ik ga er dan vanuit dat die opmerkingen van Odido over de klant nog wel in de dump staan.

Maakt me nog nieuwsgieriger over wat ze over me intern lullen.
Reageer
Patriot @xoniq2 maart 2026 20:10
Dat is trouwens oud nieuws van vrijdag. Gisteren is alles gepubliceerd: https://nos.nl/artikel/2604461-odido-hackers-publiceren-resterende-klantdata-ook-miljoenen-id-nummers
Reageer
xoniq @Patriot2 maart 2026 20:12
In datzelfde artikel:
Data achtergehouden

De hackers zeggen niet alle data van Odido vrij te geven. "Die zijn niet relevant", claimen de criminelen, die tegelijkertijd aangeven de bewuste data te willen inzetten "voor eigen gebruik".
Reageer
Patriot @xoniq2 maart 2026 20:16
Klopt, ging dan ook vooral om de opmerking die je plaatste over wát er volgens jou werd achtergehouden. Het is geen 'gotcha'-kwestie, je zat er niet helemaal naast maar dat specifieke punt verdiende wel correctie omdat juist die data al 'in het wild' gesignaleerd was.
Reageer
xoniq @Patriot2 maart 2026 20:30
Ik weet ook wel waar mijn verwarring weg komt, namelijk uit specifiek die door jou aangehaalde NOS artikel afgelopen week. Omdat het eerst ging over "Die bevatten vaak gevoelige informatie, bijvoorbeeld over misdragingen of fraude." en de alinea direct erna: "De hackers zeggen niet alle data van Odido vrij te geven. "Die zijn niet relevant", claimen de criminelen, die tegelijkertijd aangeven de bewuste data te willen inzetten "voor eigen gebruik"."

Dus fair enough. Laten we het daarbij laten. Je hebt gelijk verder.

[Reactie gewijzigd door xoniq op 2 maart 2026 20:32]

Reageer
CodeCaster @KnoxNL2 maart 2026 18:53
Och ja, het goede oude "verzoek inzage gegevens" conform artikel 12 en artikel 15, eerste lid van de Algemene verordening gegevensbescherming (AVG).

Dan moet je:
  • Een contactpunt vinden (succes met een e-mailadres vinden, of serieus genomen worden in een chat waar je zo'n verzoek kunt achterlaten).
  • Zorgen dat je verzoek gehonoreerd en niet doodgezwegen wordt.
  • Jezelf ervan vergewissen dat je niet voorgelogen wordt ("Wij hebben geen gegevens van u bewaard" - je hebt me vandaag nog een nieuwsbrief, LinkedIn-bericht of spam-mail verstuurd).
  • Erop vertrouwen dat je, als je al antwoord krijgt, een volledig antwoord krijgt.
En met "volledig" bedoel ik niet alleen gegevens in systemen die toevallig één hop verder zijn dan het online systeem, maar ook externe partijen zoals boekhouders en advertentie,- SEO/SEA- en nieuwsbriefsystemen.

[Reactie gewijzigd door CodeCaster op 2 maart 2026 19:25]

Reageer
Psycho_Mantis @CodeCaster2 maart 2026 19:17
Ik heb dit eens geprobeerd bij Ziggo toen ze dit grapje uithaalde, omdat ik wilde weten hoe ze de data hadden gematched.
Nooit antwoord opgekregen. Van alles geprobeerd, zelfs met het sturen van een brief kreeg ik enkel antwoord dat het niet de juiste weg was. Een klacht bij AP werd afgewezen omdat ze het te druk hadden.

Gelijk hebben en krijgen zijn 2 verschillende dingen.

Maar ik zou die data van Odido maar niet downloaden. Ga er maar vanuit dat de Politie dat verkeer monitort.
Reageer
tfro71 @Psycho_Mantis2 maart 2026 19:53
Ervan uitgaande dat je TOR gebruikt :Welk verkeer gaan ze dan monitoren precies?
Reageer
Jelle1611 @tfro712 maart 2026 20:10
Wel met VPN natuurlijk :)
Reageer
r03n_d @KnoxNL2 maart 2026 20:17
Dat heb ik gedaan, netjes via het formulier wat je daarvoor moet gebruiken van hun, heb ik een AVG verzoek gedaan.

Om vervolgens 5 dagen later onderstaande reactie te krijgen:
Bedankt voor je bericht.

Welke gegevens zijn betrokken?
Natuurlijk wil je weten of er persoonsgegevens van jou betrokken waren. Als jouw gegevens mogelijk betrokken waren, kreeg je al een persoonlijke e-mail of sms van ons. In dat bericht staat wat voor jou geldt. Op https://www.odido.nl/veiligheid vind je ook welke categorieën gegevens in het algemeen mogelijk geraakt zijn. Je persoonlijke bericht is het meest specifiek voor jouw situatie.

Wil je een volledig overzicht? Dan kan je gebruikmaken van je AVG-recht op inzage en een inzageverzoek indienen. Dit verzoek gaat niet alleen over gegevens die mogelijk bij het incident betrokken zijn, maar over alle persoonsgegevens die we van je bewaren. 

We vragen je om hier ons formulier voor te gebruiken. Bij het invullen stellen we een paar vragen om je identiteit te checken. Je vindt het formulier op https://www.odido.nl/service/brochures-en-formulieren onder ‘Aanvraagformulieren privacy’.

Zodra we het ingevulde formulier van je hebben ontvangen, nemen we het in behandeling en sturen we je zo snel mogelijk een reactie.

AVG-Inzageverzoek
We begrijpen dat je graag wil weten welke persoonsgegevens wij precies van je bewaren.

Veel gegevens vind je in Mijn Odido. Wil je een volledig overzicht ontvangen? Dan kan je een inzageverzoek indienen. We vragen je om hier ons formulier voor te gebruiken. Bij het invullen stellen we een paar vragen om je identiteit te checken.

Je vindt het formulier op https://www.odido.nl/service/brochures-en-formulieren onder ‘Aanvraagformulieren privacy’. Zodra we het ingevulde formulier van je hebben ontvangen, nemen we het in behandeling en sturen we je zo snel mogelijk een reactie.

Alle beschikbare informatie over het incident kan je vinden op de webpagina https://www.odido.nl/veiligheid.

We zijn er voor je,
Emma van Odido
Reageer
R4gnax
@r03n_d2 maart 2026 20:49
Begrijp ik het nu goed dat hun antwoord op het doen van een AVG verzoek middels XYZ, is dat als je je gegevens in wilt zien, je daarvoor een AVG verzoek middels XYZ kunt doen?

What the actual fuck ?!
Reageer
Gwaihir @KnoxNL2 maart 2026 19:02
Is die manier er dan? Dat is voor mij de hamvraag.

Odido is de enige partij die deze gegevens mag (en zelfs moet) downloaden zonder strafbaar te zijn, daar ze verplicht is de klanten te laten weten wat er gelekt is en die data toch al integraal bezat.

Leuk hoor, dat autoriteiten zoals het OM commentaar leveren op wat downloaden al dan niet betekent, maar wanneer komen de autoriteiten met publieke instructies aan Odido, kracht bij gezet met een stevige dwangsom? Want het is duidelijk dat Odido niet op eigen initiatief aan haar verplichtingen aan het voldoen is.
Reageer
Sando @KnoxNL2 maart 2026 19:44
Is er een juridisch verschil tussen illegaal (downloaden van een serie/aflevering) en "hartstikke illegaal" zo als het downloaden van de gelekte data in dit artikel wordt genoemd?

Ik vertrouw die hele Odido voor geen meter meer na alle berichtgeving. Die illegaal (of hartstikke illegaal) veel te lang bewaarde gegevens en profilering, volgens mij zou je die nooit hebben gekregen.

Je zou eigenlijk beide willen doen om te vergelijken.
Reageer
YGDRASSIL @KnoxNL2 maart 2026 20:18
Ze wisten niet wat er allemaal gelekt was. Toen er data online werd gezet was het 'oh dit is ook gelekt'. Dus aan die bron heb je niet veel. Ze weten het niet precies en zijn ook niet gebaat bij volledige openheid.
Reageer
teek2 @KnoxNL2 maart 2026 20:20
Als ik Odido was zou ik proberen samen te werken met https://haveibeenpwned.com/ om mensen een beetje tegemoet te komen.
Reageer
cnoobie @KnoxNL2 maart 2026 21:04
Thanks, heb meteen aanvraag ingediend.
Reageer
Raymond Deen @KnoxNL2 maart 2026 22:30
Laat Odido anders zelf die gestolen dataset downloaden en elke gebruiker die er in voor komt zijn of haar eigen gegevens uit die dataset toe sturen per e-mail.

Op die manier krijgt iedereen volledige inzage (tenzij je niet meer bij het betreffende e-mail adres kunt) in z’n eigen gelekte gegevens terwijl er geen onrechtmatige download plaats vindt; het zijn tenslotte hun eigen data.
Reageer
Boxman 2 maart 2026 19:02
Beetje een open deur intrappen dit. In dezelfde context is 90% van alle bezoekers hier strafbaar vanwege de films en/of mp3's die ze nog op hun PC hebben staan die niet uit legale bron verkregen zijn.

De relevantie zit hem in het handhaafbeleid. Is er ooit al een particulier middels deze wet veroordeeld? Wat is het werkelijke doel van de wet? Zowel bij het downloaden van films als bij deze dataset, is de insteek van de wet om misbruik op grote schaal te voorkomen en strafbaar te zetten. Dus het verspreiden van volledige bibliotheken aan films of het op grote schaal misbruiken van gestolen gegevens. De kans dat een Jan Modaal puur voor het bezit van de dataset gaat worden vervolgd is realistisch gezien 0.0%.
Reageer
TouW 2 maart 2026 21:21
Die kop is stellig. De juridische onderbouwing is dat niet.

Het artikel baseert zich op de stelling van Engelfriet dat het downloaden strafbaar is onder art. 138c en 139g Sr. Maar daarbij wordt het cruciale bestanddeel van beide artikelen overgeslagen: de gegevens moeten niet-openbaar zijn. En precies daar wringt de schoen.

De Memorie van Toelichting (MvT) bij de Wet Computercriminaliteit III is daar helder over: "Degene die door misdrijf verkregen gegevens via het internet openbaar maakt is op grond van deze bepaling strafbaar, maar niet de persoon die via het internet openbaar gemaakte gegevens download." (Kamerstukken II 2015/16, 34 372, nr. 3, p. 87). Het criterium is feitelijke toegankelijkheid, niet de aard of gevoeligheid van de gegevens. De WODC-evaluatie van diezelfde wet omschrijft 'niet-openbaar' als "niet voor het publiek beschikbaar" (WODC, 2025, p. 48). Ook het Gerechtshof Den Haag bevestigde dit en sprak de verdachte vrij van gegevensheling: gegevens die reeds via openbare internetbronnen beschikbaar zijn, voldoen niet aan het vereiste 'niet-openbaar' van art. 139g Sr (ECLI:NL:GHDHA:2024:217, 14 februari 2024).

Het artikel erkent zelf dat de datasets inmiddels vrij via Google te vinden zijn en dat directe download-URL's op fora worden gedeeld. De auteur noemt dit een 'vervaging', maar de MvT trekt hier een harde grens: zodra gegevens vrij toegankelijk op het internet staan, is niet voldaan aan het bestanddeel 'niet-openbaar'. De .onion-pagina van ShinyHunters verwijst direct naar een regulier HTTP-adres: http://xx.xx.xxx.xx/pay_or_leak/odido/. Geen Tor vereist, gewoon bereikbaar via elke browser. Ethical hacker Sijmen Ruwhof vatte het tegenover RTL Nieuws samen: "Met één druk op de knop kun je met iedere internetverbinding nu zonder speciale software de gelekte persoonsgegevens downloaden" (Bunskoek & Verlaan, 2026).

Daarbij vermengt het artikel twee verschillende delicten. Art. 138c Sr (gegevensdiefstal) ziet op het wederrechtelijk overnemen van gegevens uit een "geautomatiseerd werk", oftewel uit de bron (de Odido-database zelf). Dat is wezenlijk anders dan het downloaden van een reeds gepubliceerde dataset. Art. 139g Sr (gegevensheling) vereist niet-openbare gegevens, en aan dat vereiste wordt, zoals betoogd, niet voldaan.

Tot slot: op zijn blog noemt Engelfriet het standpunt dat het dark web per definitie niet-openbaar is expliciet een "stellige overtuiging", zonder wetgeving of jurisprudentie aan te voeren (Engelfriet, 2026). Opmerkelijk, want in 2023 schreef hij over exact dit scenario, een online gepubliceerd datalek: "de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. [...] Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar." (Engelfriet, 2023). De wet is sindsdien niet gewijzigd.

Disclaimer: Bovenstaande is een juridische analyse op basis van primaire bronnen, geen aanmoediging om gelekte data te downloaden. Dat de wet iets mogelijk niet strafbaar stelt, betekent niet dat het verstandig of wenselijk is.

Bronnen:

[Reactie gewijzigd door TouW op 2 maart 2026 23:13]

Reageer
B Tender @TouW2 maart 2026 23:19
Die term 'niet-openbaar' is ook exact wat bij mij mn wenkbrauwen deed rijzen. Maar jij hebt het gelijk ook heel duidelijk verwoord hier.
Reageer
tgif 2 maart 2026 21:55
Ik heb het helemaal gehad met de dominees in de topics over de Odido hack. Je bent niet informatief/behulpzaam!

Elke keer verwijzen naar "Have I Been Pwned". Dat gaat voor mij moeilijk omdat Odido geen e-mail van mij heeft. Ik kan dus niet controleren of mijn gegevens zijn gelekt. En dat wil ik wel weten! Daar heb je als burger zelfs recht op.

Odido heeft mij ook geen brief gestuurd. Heb alles zelf uit de media moeten halen.

AP adviseert om direct bij het bedrijf te informeren welke gegevens van mij zijn gelekt. Odido geeft geen enkele informatie. Odido ontkent bijna dat ze gehackt zijn.

AP doet helemaal niks. Op het moment toen de media bekend maakte dat er informatie van "kwetsbare" burgers in de dataset zitten had het AP bij Odido onderzoek moeten gaan doen.

Ik weet dus helemaal niks en zal door niemand worden geïnformeerd. Ik ben verplicht om me bij een telco te identificeren. Deze kan vervolgens zonder consequenties mijn gegevens te grabbel gooien. En mij niet informeren.

Bedrijven worden keer op keer de hand boven het hoofd gehouden door de politie, politiek en toezichthouders. Zie, Frans, bedrijf die voor bevolkingsonderzoek het lab werk deed.

Dankzij deze hackers weten we dat Odido fout bezig is. Maar gestraft zal Odido niet worden.

Als je bij een andere telco zit juich niet te snel. Het zal me niet verbazen als ze allemaal op dezelfde manier gegevens bewaren.
Reageer
ymmv 2 maart 2026 18:02
Zijn ALLE Odido-gebruikers getroffen of een (enorm grote) subsectie?

Ik heb namelijk nog steeds geen mail van Odido gekregen. Ben ik dan aan de dans ontsprongen?
Reageer
krakendmodem @ymmv2 maart 2026 18:08
Er zijn meer mensen die geen mail hebben gehad. Kans is alsnog dat je gewoon ertussen staat. Dat kan je checken via mozilla monitor of have I been pwnd.

Ik heb er wel eentje gehad als oud-klant. Maar volgens de mozilla monitor in mijn geval alleen e-mail, telefoonnummer en bankrekeningnummer. Daar kom ik nog wel overheen. Dat is aan te passen.
Reageer
ymmv @krakendmodem2 maart 2026 18:49
Ik had een paar dagen geleden al https://haveibeenpwned.com/ geprobeerd maar daar stond niks over Odido. Net nog 'ns gedaan en nu staat er voor mijn emailadres wel een waarschuwing.

Maar ik weet nu nog steeds niet WELKE gegevens precies gelekt zijn.
Reageer
SunnieNL @ymmv2 maart 2026 19:37
Ga er maar van uit dat als je uit die tool naar boven komt, dat alle gegevens die Odido ook maar enigszins van je kan hebben, op straat liggen (excl. digitale kopieen van rij- of id-bewijs). Dus id-nummer, bsn, geldigheidsdatum van id, bankrekening, betalingsproblemen, telefoonnummer, adres, geboortedatum, etc.

(dus te vreemd dat als je Odido belt, ze nog om deze gegevens vragen om te verifieren of jij wel jij bent...)
Reageer
tfro71 @SunnieNL2 maart 2026 19:55
Het bsn is niet gelekt,wel het btw nummer dat alleen zzp-ers met eem zakelijk abo raakt
Reageer
codeneos @tfro712 maart 2026 20:37
Maar BTW nummers van eenmanszaken zijn tegenwoordig niet meer direct afgeleid van het BSN. Als je daar op doelde.
Reageer
tfro71 @codeneos2 maart 2026 20:48
Nee, ik kom er ook in voor met mijn nieuwe BTW nummer maar als je (veel) langer geleden je contract hebt afgesloten sta je er nog met het oude BTW nummer in en die in met BSN. Grofweg: contract van vóór 2020: BSN gelekt, erna je eerste contract afgesloten: BSN niet gelekt
Reageer
HoppyF @ymmv2 maart 2026 19:27
Precies dat laatste is het probleem wat mensen ervaren.
Je weet DAT er gelekt is maar niet WAT.
Als er duidelijkheid zou komen dat je dit kunt checken is het voor de meeste mensen voldoende.
Voor de rest is het vooral veel juridisch gezwam waar niemand iets mee kan.
De wetgever loopt weer achter de feiten aan en de burger/klant staat in de kou terwijl het andersom
zou moeten zijn dat de overheid de burger beschermt.
Reageer
darkfader @krakendmodem2 maart 2026 18:31
Ik beb ook een e-mail ontvangen maar zie mezelf nog niet gepwned staan. Het zou inderdaad nice zijn als het beperkt bleef voor oud-klanten.
Reageer
BadpunK @darkfader2 maart 2026 19:14
Het werd gefaseerd gelekt door de hackersgroep. Ik zat in de laatste lichting met mijn gegevens. Als je nu zult controleren zul je wel gevonden worden.
Reageer
WhoDoYaThinkIAm @darkfader2 maart 2026 22:06
Bij mij precies andersom: wel een melding van HaveIBeenPwned, maar geen bericht van Oliedom.
Reageer
Tomramaker @krakendmodem2 maart 2026 19:18
Ik had dus geen mail van odido gekregen. Maar zodra de eerste batch online kwam kreeg ik melding vanuit mozilla en hibp dat ik erbij stond....
Reageer
KnoxNL @ymmv2 maart 2026 18:09
Reken er maar niet op.

Ik heb de 1e mail van Odido ontvangen, maar de 2e (nadat bekend werd dat er MEER data gestolen was) nooit gehad.

Zelfs mailen kunnen ze niet fatsoenlijk daar.
Reageer
SebasFM @KnoxNL2 maart 2026 18:51
Er is een tweede mail uitgestuurd?! Die heb ik dan ook niet ontvangen…
Reageer
tfro71 @KnoxNL2 maart 2026 19:57
De eerste mail was behoorlijk volledig met wat er gelekt is. Vooral het opmerkingenveld is nieuw maar daar staan zoveel verschillende dingen in dat dat niet in een lijstje met gegevens te vatten is.
Reageer
Zerora @ymmv2 maart 2026 18:07
Ik heb ook geen mail gekregen. Toch zit ik wel in de lek. Met een omvang van 6,5 miljoen records en 600k records aan bedrijven klinkt het wel aannemelijk alsof dit hun gehele klantenbestand is.
Reageer
hottestbrain @Zerora2 maart 2026 19:15
Plus oud-klanten. Mijn data had al lang en breed verdwenen moeten zijn, maar ook ik ben helaas pwned.
Reageer
- peter - @ymmv2 maart 2026 18:33
Ik heb alleen odido zakelijk gehad, en geen mail gehad. Maar kreeg nu via haveibeenpwned dat ik er wel gewoon tussenzat...
Reageer
codeneos @- peter -2 maart 2026 20:39
Zowel zakelijk als prive contact gegevens zijn gelekt
Reageer
Martin.Air @ymmv2 maart 2026 18:05
Daarmee zitten slachtoffers, zoals ze in het Engels zeggen, 'tussen een rots en een harde plek'; er is simpelweg geen legale manier om erachter te komen welke van je gegevens er bij het datalek betrokken zijn. Het onbevredigende legale antwoord is dus: wees waakzaam voor eventuele phishing en andere fraude; meer kun je eigenlijk niet doen.
Reageer
ASS-Ware @ymmv2 maart 2026 18:08
Zijn ALLE Odido-gebruikers getroffen of een (enorm grote) subsectie?

Ik heb namelijk nog steeds geen mail van Odido gekregen. Ben ik dan aan de dans ontsprongen?
Check https://haveibeenpwned.com/
Reageer
jeroenathome @ymmv2 maart 2026 18:19
Ik heb mail ontvangen van Have i been powned. Dus ik zit er helaas bij. Jammer dat het ook meteen goed is gebeurd met alle privégegevens. Tot aan deze hack was alleen mijn spamadres bij last.fm uitgelekt. Alle overige persoonsgegevens niet zover het mij bekend is.
Dan praten we over op het internet actief zijn vanaf 1997 of 1998.

Bij elk bericht van uitgelekte persoonsgegevens was ik verbaasd dat ik er nog steeds niet bij zat.
Reageer
Senaxx @ymmv2 maart 2026 20:45
Ik sta er ook tussen, met een email en id bewijs, maar ik ben al 6 jaar geen (destijds) T- Mobile klant meer, en heb ook geen mail gekregen. Maar ik sta wel tussen de gelekte gegevens met al mijn informatie. Het is toch van de zotte dat ik via 3e partijen moet vernemen dat mijn info is gelekt.

Odido heeft de PLICHT om mij te informeren dat mijn data is gelekt, en dat is gewoon niet gebeurd.

[Reactie gewijzigd door Senaxx op 2 maart 2026 20:48]

Reageer
Hermanleen 2 maart 2026 18:15
Maar Odido zelf mag die gegevens toch wel downloaden, het zijn hun eigen gegevens.

Zo kunnen ze in ieder geval de getroffen klanten laten weten wat er precies gestolen is.
Reageer
FreezeXJ @Hermanleen2 maart 2026 18:20
Een heleboel van die gegevens hadden ze al niet mogen hebben, want van ex-klanten die al 2+ jaar geen contact meer hadden... Ben benieuwd of dat nog juridische gevolgen gaat hebben.
Reageer
tfro71 @FreezeXJ2 maart 2026 19:59
Onzin, belastingwetgeving vereist al 7 jaar bewaartermijn. Er valt wel beroep te doen op avg regels rondom wie waar bij mocht
Reageer
sdsnatcher73 @FreezeXJ2 maart 2026 18:23
Ja dat is wel “knullig” op zijn zachts gezegd.
Reageer
doeternietoe @Hermanleen2 maart 2026 19:29
Inderdaad. Van T-mobile staat buiten kijf dat ze legaal de gegevens kunnen downloaden en die zouden gewoon in staat moeten zijn om een pagina op te zetten waar je je e-mailadres in kunt vullen waarna ze je een mailtje sturen met tot in detail welke gegevens er van jou in de data dump zitten.

Maar ik heb weinig hoop dat ze dat gaan opzetten. Op dit moment hebben ze niet eens alle getroffen e-mailadressen nagemaild. Een aantal jaar geleden heb ik een oudere dame in the middle of nowhere geholpen met het aanleggen van internet voor thuis via 4G van T-mobile. Ik heb daarvoor toen een tijdelijk e-mailadres aangemaakt (tmobiletijdelijk@[mijneigendomein].nl), met forward naar mijn persoonlijke e-mail. Sinds afgelopen week ontvang ik ineens spam via dat adres. Het is dus w.m.b. absoluut zeker dat dit e-mailadres deel uit heeft gemaakt van de hack. Toch ben ik via dit e-mailadres niet geïnformeerd door T-mobile. Met andere woorden: ze hebben niet eens iedereen die getroffen was persoonlijk gemaild dat er gelekt is, laat staan dat ze details geven over wat er gelekt is.

Overigens ben ik er niet zo zeker van dat het in alle gevallen strafbaar zou zijn om de dataset te downloaden. Met name m.b.t. dit stukje:
De voorbeeldtool Have I Been Pwned verkeert alleen in hetzelfde grijze gebied. Hoezo zou die tool van maker Troy Hunt dan wél mogen bestaan? Kort door de bocht: dat mag eigenlijk ook niet. Maar Hunt is voor zover bekend dermate betrouwbaar, dat zijn tool – die hij grotendeels in de openbaarheid ontwikkelt – bij wijze van spreken gedoogd wordt. Zeker omdat die website al ruim een decennium bestaat en zeer invloedrijk is, weegt het maatschappelijk belang zwaarder dan de letter van de wet.
Is hier geen sprake van het ontbreken van materiële wederrechtelijkheid? Ik zat vroeger beter in deze materie dan nu, maar op het eerste gezicht lijkt me dat wel het geval namelijk. Ik weet dat er in de rechtspraak terughoudend met deze strafuitsluitingsgrond wordt omgegaan, maar dit lijkt me nu juist zo'n uitzonderlijke situatie waarin het wel zou kunnen. In dit geval beoogt het artikel dat Troy Hunt (binnen de Nederlandse jurisdictie) zou overtreden het beschermen tegen misbruik van persoonlijke gegevens. Hunt dient in casu nu juist dit belang door te handelen in strijd met het wetsartikel.
Reageer
i-chat @doeternietoe2 maart 2026 20:03
het verschil met hunt zijn tool en het zelf downloaden voor eigen gebruik (dat door Engelfried totaal onterecht als illigaal wordt bestempeld). is dat hunt wel kan zeggen dat ie in maatschappelijk belang handelt dat dat dat mogelijk niet blijkt uit de manier waarop een en ander in elkaar steekt.

om juridisch gezien maatschappelijk te kunnen handelen in algemene zin zul je aan bepaalde voorwaarden mmoeten voldoen 'denk aan zaken als: rechtspersoonlijkheid, het voeren van een klachtenregeling, een privacy regeling, en in bepaalde gevallen zelfs het hebben van de nodige vergunningen om data te mogen verwerken. 'the defense of others' als uitsluitingsgrond geld immers alleen op individule basis en niet als 'systematisch goedpratertje'


dat wil niet zeggen dat het dan maar gehandhaafd moet worden... zeker niet, enig gedoogbeleid in deze specifieke casus is absolute noodzaak.
Reageer
sdsnatcher73 @Hermanleen2 maart 2026 18:21
Dit lijkt me serieus een goed idee, met mijn niet juridische achtergrond durf ik natuurlijk niet te zeggen of het 100% in orde is…
Reageer
Swelson 2 maart 2026 18:06
Lijkt me iets voor Odido om duidelijkheid over te geven. Zij weten specifiek per klant welke data ze hebben.
Reageer
quazar @Swelson2 maart 2026 19:00
Ik wil graag weten of ik mij paspoort of rijbewijs heb gebruikt voor identificatie. Enige manier om daar achter te komen zal de file downloaden zijn of is er nog een andere optie?
Reageer
tfro71 @quazar2 maart 2026 20:01
Vooralsnog is die file de enige optie. Tevens het beste argument bij een eventuele zaak: ik heb recht op inzage maar via de reguliere kanalen (ziggo, politie, ministerie) kreeg ik geen antwoord
Reageer
carlpls @quazar2 maart 2026 21:44
Voor deze vraag specifiek kan je bellen met de klantenservice. Zij kunnen je vertellen wat voor documenten er destijds gebruikt zijn om je te identificeren.
Reageer
PhilipsFan @carlpls2 maart 2026 23:10
Haha, bellen met de klantenservice. En hoe gaan die controleren dat ik ook echt ben wie ik zeg dat ik ben? Als ik nog steeds klant ben, dan kunnen ze me een sms sturen met een code. Maar als ik geen klant meer ben, hoe gaan ze dat dan na? Mijn geboortedatum vragen? Haha, die zit in het bestand en ik weet dus de geboortedatum van elke klant.

Toont maar weer eens aan hoe slecht bedrijven omgaan met informatiebeveiliging.
Reageer
Bomb-el @Swelson2 maart 2026 18:13
Nou inderdaad, je zou denken dat ze dat haast wettelijk verplicht zijn, en anders op zijn minst moreel verplicht. Maar ik ga er vanuit dat het bij het ene enkele mailtje blijft. Je schoffeert daarmee toch eigenlijk je hele klantenbestand
Reageer
HitBit @Swelson2 maart 2026 19:19
Ik zat me net te bedenken als je nu nog wel een lopend abonnement hebt zoals ik, kan je je contract inzien. Zijn dat niet de gegevens die gelekt zijn nu. En daarvoor in een winkel een abonnement genomen maar die zijn de laatste keer overschreven met het nieuwe. Of is dit te simpel gedacht?
In mijn geval zie ik dat ik telefonisch mijn rijbewijs heb gebruikt bij de verlenging.
Reageer
tellorian 2 maart 2026 18:10
Vanuit NordVPN kreeg ik ook een bericht dat mijn gegevens gelekt waren. Dit was via de “Dark Web Monitor”, en hierbij kreeg ik (na extra verificatie) ook te zien welke gegevens (de waardes/inhoud) gelekt waren.

Handige service! Dit zal echter ook in het grijze gebied zitten.

[Reactie gewijzigd door tellorian op 2 maart 2026 18:11]

Reageer
JRB27 @tellorian2 maart 2026 18:21
Nor meldt mij niet bij odido. Have I been powned wel, maar mijn abbo is al meer dan 2 jaar afgelopen. Afhankelijk van wat ze nog van mij hadden is het zeker wel langer bewaren dan de AVG noodzakelijk acht. Ben geen klant meer dus je kunt mijn gegevens gewoon opruimen.
Reageer
Yoghoo @tellorian2 maart 2026 18:29
Dank voor de tip! Werkt inderdaad goed voor een snelle controle.
Reageer
Yucko @tellorian2 maart 2026 18:42
yup, hier idem.

Zeer handig!
Reageer
roelst1 2 maart 2026 18:13
Ik ben benieuwd waarom tools zoals die van de politie niet laten zien welke data er gelekt is. Ik heb het argument voorbij zien komen dat het dan eventueel mogelijk is om de dataset op te bouwen door middel van scraping, maar dat lijkt me heel omslachtig als het complete bestand ergens te downloaden is. En zelfs als je dan mee gaat in dat argument, waarom niet voor elke belangrijke entry (email, paspoortnr, bsn, etc.) een aparte zoekfunctie maken? Dat zijn stuk voor stuk unieke identifiers, dus een "Dit staat in het lek" is dan al voldoende als resultaat.

Edit: Of nog beter, laat Odido zelf de klanten informeren welke data er precies is gelekt. Ik ben één van de velen die wel is getroffen, maar zelfs het eerste emailtje niet heeft gehad. Wat een belabberde communicatie zeg.

[Reactie gewijzigd door roelst1 op 2 maart 2026 18:15]

Reageer
ShadLink @roelst12 maart 2026 18:18
Ze (overheid/politie) zouden een tool kunnen maken waar je enkel je eigen gegevens kan downloaden mbv. een online Id check (digid). Zo krijg je niet dat je gegevens van iemand anders ziet, maar wel dat je de gerelateerde informatie krijgt.
Reageer
HakanX @ShadLink2 maart 2026 18:50
Wat als je bsn niet is gelekt, maar andere info wel? Er is voor de Politie vanuit DigID dan geen andere unieke key meer om op te zoeken.
Reageer
ShadLink @HakanX2 maart 2026 18:58
Digid bewaart meer dan alleen je BSN, ook je mobiele telefoonnummer, e-mailadres, paspoortnummer, adres, etc. zijn daar bewaard. (Kijk maar eens op mijn.overheid) En dan kan je simpelweg kijken of die zaken erin voorkomen. Natuurlijk kan je geen gegevens krijgen die niet direct tot jou te herleiden zijn.

[Reactie gewijzigd door ShadLink op 2 maart 2026 18:58]

Reageer
HakanX @ShadLink2 maart 2026 19:03
Je mobiele nummer kan opnieuw uitgegeven zijn. Emailadres moet dan toevallig wel hetzelfde zijn (bij mij is dat absoluut niet voor overheid en andere zaken). Je adres kan ook al iemand anders in wonen of van je medebewoners zijn. Paspoortnummer zou kunnen. Maar is ook slechts deels een oplossing, want die is lang niet altijd gelekt.

Niet vergeten dat er data in staat die meer dan 10 jaar oud kan zijn. Er kan dus heel veel gewijzigd zijn. Daarom heb ik het over een unieke key.

[Reactie gewijzigd door HakanX op 2 maart 2026 21:46]

Reageer
tfro71 @ShadLink2 maart 2026 20:04
Digid bewaart alleen je bsn. Mijnoverheid wordt gevuld uit de brp ofwel gemeentedata. Lijkt me trouwens ook een prima plek om data op te halen. Ze hebben zelf al die data al dus ontvangen niets nieuws en ze kunnen prima je identiteit vaststellen.
Reageer
wroeter @ShadLink2 maart 2026 18:47
Goed idee!
Reageer
themadone @roelst12 maart 2026 18:15
Of gewoon zoeken op je naam en de andere gegevens gebruiken ter verificatie?
Reageer
meowmofo 2 maart 2026 18:06
De download staat op een publiek bereikbare locatie, niet op/achter TOR. Het is een simpele http://<iphier> pagina.

Nog iets wat ik redelijk bijzonder vond, als je de filename Googled, dan kom je een thread tegen op Twitter waarbij iemand aan Grok vraagt waar de data te vinden is, en Grok geeft doodleuk de url. Ik denk niet dat ik de link naar Twitter mag posten hier, dus voor verificatie zelf even Googelen.
Reageer
PageFault @meowmofo2 maart 2026 18:32
In tegenstelling wat in dit artikel staat, is het niet onder alle omstandigheden verboden deze gegevens te downloaden.

Ikzelf heb alleen haveibeenpowned gechecked, daar staan alleen 5 eerdere data breaches in van oud tot een paar jaar terug. Ik ben zelf nooit klant geweest bij Odido, al is er bij het stoppen van Tweak wel sprake geweest van overname door Odido.
Reageer
Koudvuur @meowmofo2 maart 2026 18:34
De http link is zelfs geïndexeerd door Google. De exacte bestandsnaam wordt genoemd in de reacties onder één van de vele Tweakers artikelen over dit onderwerp.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq