Door Yannick Spinner

Redacteur

Feedback • 02-03-2026 18:00 309

Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf

02-03-2026 • 18:00

309

hoofdstuk

Als je net als ongeveer 6 miljoen Nederlanders slachtoffer bent van het Odido-datalek, kan dat een gevoel van overweldiging en machteloosheid geven. Eerst was er de dreiging van het datalek, daarna de daadwerkelijke, gevreesde openbaring ervan. Getroffenen krijgen geen schadevergoeding en een massaclaim is onwaarschijnlijk. Gelukkig worden slachtoffers blij gemaakt met een dode mus. Eigenlijk zit er dus niets anders op dan balen. Althans, er is nog een optie: de gelekte gegevens zelf downloaden en controleren op je gegevens. Maar dat is hartstikke illegaal, ook voor eigen gebruik.

Odido datalek download

Goede bedoeling doet er niet toe

Iedereen die het gevreesde mailtje van Odido of Ben kreeg, is natuurlijk benieuwd of zijn of haar gegevens erin staan, en wellicht nog belangrijker: welke gegevens precies. De melding van het datalek door de bedrijven is alleen doorspekt met het woord 'mogelijk', dus zeker weten welke van je gegevens op straat liggen is in feite onmogelijk.

'Het overnemen van niet-openbare gegevens is strafbaar.'Dat zou tot voor kort alleen kunnen door met de Tor-browser of een alternatief het darkweb te betreden en de gegevens direct van de cybercriminelen te downloaden. Inmiddels zijn de gegevens ook gemakkelijker verkrijgbaar. Hoe dan ook, helaas is dat volgens ict-jurist Arnoud Engelfriet hartstikke illegaal, zo zegt hij tegen Tweakers. "Het overnemen van niet-openbare gegevens is strafbaar als je weet of redelijkerwijs kon vermoeden dat ze uit misdrijf verkregen zijn." Dat het gaat om een misdrijf, is in dit geval hopelijk wel duidelijk.

Waarschijnlijk wil vrijwel ieder slachtoffer gewoon weten welke gegevens er van hem of haar in de dataset staan en zijn er geen kwade bedoelingen bij het binnenhalen van de persoonsgegevens van de overige 6.499.999 Odido-klanten. Toch is dat juridisch geen geldig argument: "Voor gegevensheling (onder artikel 138c en 139 van Wetboek van Strafrecht) is misbruik van de gegevens niet vereist", aldus Engelfriet. Met andere woorden, wat je bedoelingen ook zijn, het is gewoon niet toegestaan om gestolen gegevens te downloaden.

Wat is openbaar?

Nu kun je je volgens Engelfriet afvragen of de gehackte Odido-gegevens niet-openbaar zijn. "De wetgever heeft niet duidelijk gemaakt wanneer data openbaar is, tenzij het een van deze twee extreme gevallen is: een URL is slechts bij een besloten groep bekend (niet openbaar) of de website is direct via Google te vinden (wel openbaar)."

Omdat het waarschijnlijk gaat om het grootste datalek uit de Nederlandse geschiedenis, zijn er per definitie veel mensen bij betrokken. Daarom zijn er veel mensen die de gegevens downloaden en delen. De datasets zijn inmiddels vrij gemakkelijk te vinden via Google en de directe URL's naar downloadpagina's worden op fora gedeeld. Daarmee vervaagt de lijn van wat oorspronkelijk een niet-openbare (of in ieder geval zeer moeilijk vindbare) dataset was.

Tools bieden beperkte oplossing

Om het plegen van een misdrijf te voorkomen, zijn er gelukkig wat tools die datalekken voor je checken. De bekendste is waarschijnlijk Have I Been Pwned van ontwikkelaar Troy Hunt. Na het invoeren van een e-mailadres zoekt de tool in een enorme database of het adres genoemd wordt in miljoenen gelekte bestanden. Er is ook een alternatief van de Nederlandse politie: Check je hack. In beide databases zijn de gelekte gegevens van Odido inmiddels verwerkt.

Odido-datalek Have I Been Pwned

De twee tools hebben alleen een schrijnende tekortkoming. In beide gevallen krijgen getroffenen alleen te horen dát ze slachtoffer zijn. Welke gegevens er precies gestolen zijn, laten de diensten niet weten. Have I Been Pwned toont welke gegevens er in de totale dataset vindbaar zijn, maar laat niet per individueel slachtoffer weten welke gegevens van dat individu erbij zitten. Het kan zomaar zijn dat alleen je e-mailadres bij Odido gestolen is, maar geen bsn. Dat is met de vermelde tools helaas niet uit te vogelen.

Wacht, waarom mogen zij wél gestolen data downloaden?

Nu voelt het wellicht een beetje hypocriet dat een aanbieder van Have I Been Pwned of de Nederlandse politie wél data mag downloaden en indirect delen. Engelfriet legt uit: "Er is een uitzondering voor publicatie in het algemeen belang, waarmee de pers wordt beschermd. HIBP voldoet ook aan deze uitzondering gezien haar maatschappelijke positie, nog los van dat zij vanuit Australië opereert en dus buiten de Nederlandse rechtsmacht opereert."

Illegale tools

De wet probeert vooral te voorkomen dat mensen het heft in eigen handen nemen. Dat zag Tweakers onlangs veelvuldig gebeuren. Meer dan tien tweakers stuurden de afgelopen dagen zelfgemaakte zoektools in. Die zijn in beginsel illegaal, omdat de maker daarvoor gegevensheling heeft moeten plegen. Daarnaast is de veiligheid van deze tools moeilijk te verifiëren, dus is er een risico op de verdere verspreiding van de gestolen gegevens.

De voorbeeldtool Have I Been Pwned verkeert alleen in hetzelfde grijze gebied. Hoezo zou die tool van maker Troy Hunt dan wél mogen bestaan? Kort door de bocht: dat mag eigenlijk ook niet. Maar Hunt is voor zover bekend dermate betrouwbaar, dat zijn tool – die hij grotendeels in de openbaarheid ontwikkelt – bij wijze van spreken gedoogd wordt. Zeker omdat die website al ruim een decennium bestaat en zeer invloedrijk is, weegt het maatschappelijk belang zwaarder dan de letter van de wet.

Dat geldt gevoelsmatig minder voor vergelijkbare tools van onbekende mensen. Er zijn wel degelijk andere tools die op een vergelijkbare manier werken, zo schreef Tweakers eerder. Maar uiteindelijk is de afweging meer een gevoelskwestie dan een concrete overweging van welke tools wel en niet acceptabel zijn.

In een statement tegen Tweakers licht het Nederlandse Openbaar Ministerie verder toe waarom individuen – ongeacht de waarschijnlijk goede bedoelingen – het beste kunnen wegblijven van de gestolen gegevens: "Door in gelekte datasets te grasduinen vergroot je de schade voor de slachtoffers. Er is daarnaast een groot risico dat data verder wordt gedeeld en dat gegevens op veel meer plekken terechtkomen. Door die verspreiding neemt ook het risico op bijvoorbeeld identiteitsfraude toe. Verder kan het onder omstandigheden tot andere strafbare feiten leiden, denk bijvoorbeeld aan doxing."'Door in de gelekte datasets te grasduinen vergroot je de schade voor slachtoffers.'

Je gaat waarschijnlijk niet de bak in

Nu is de hamvraag voor in ieder geval meer dan tien tweakers: is er een kans dat je de bak in gaat als je de dataset downloadt? Dit is allesbehalve juridisch advies, maar het mag duidelijk zijn dat de hackers die de gegevens hebben gestolen de echte criminelen zijn. Het OM zegt daarover: "Het onderzoek van het Landelijk Parket richt zich voor nu hoofdzakelijk op de criminelen die verantwoordelijk zijn voor de hack bij Odido."

De instantie waarschuwt wel dat het gebruik – en vooral misbruik – van de gestolen dataset van Odido 'in bepaalde vormen strafbaar kan zijn'. Daartegen wil het OM naar eigen zeggen ook optreden, maar het is onwaarschijnlijk dat een individuele downloader bestraft wordt. Of het moreel verantwoord is om voor je eigen geruststelling de gegevens van anderen te downloaden, dat is een andere kwestie.

Daarmee zitten slachtoffers, zoals ze in het Engels zeggen, 'tussen een rots en een harde plek'; er is simpelweg geen legale manier om erachter te komen welke van je gegevens er bij het datalek betrokken zijn. Het onbevredigende legale antwoord is dus: wees waakzaam voor eventuele phishing en andere fraude; meer kun je eigenlijk niet doen.

Update, dinsdagochtend – Inmiddels heeft de politie de Odido-gegevens aan de Check je hack-database toegevoegd. Dit is in het artikel verwerkt.

Redactie: Yannick Spinner • Eindredactie: Marger Verschuur

Lees meer

13 mrt 2026

Waarom 'Check je hack' slechts 1 keer je e-mailadres opzoekt in de Odido-dataset

158

17 feb 2026

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

299
Let op: uw wachtwoord is gehackt

23 apr 2021

Let op: uw wachtwoord is gehackt

Zo werken 'datalek-databases'

60
Interview: Troy Hunt - Have I Been Pwned

29 jan 2021

Interview: Troy Hunt - Have I Been Pwned

'De Adobe-breach kwam precies goed uit'

124
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update
Politietool laat klanten Odido checken of ze slachtoffer datalek zijn - update Nieuws van 3 maart 2026
Odido-klanten hebben mogelijk geen mobiel internet door stroomstoring - update 2
Odido-klanten hebben mogelijk geen mobiel internet door stroomstoring - update 2 Nieuws van 3 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen
Nieuwsblog: journalistieke afwegingen als je schrijft over cybercriminelen Nieuws van 27 februari 2026
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming
Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
Meer producten en artikelen
Politiek en recht Privacy Datalek Have I Been Pwned Odido

Reacties (274)

-Moderatie-faq
274
267
185
12
2
67
Wijzig sortering

Sorteer op:

Weergave:
TouW 2 maart 2026 21:21
Die kop is stellig. De juridische onderbouwing is dat niet.

Het artikel baseert zich op de stelling van Engelfriet dat het downloaden strafbaar is onder art. 138c en 139g Sr. Maar daarbij wordt het cruciale bestanddeel van beide artikelen overgeslagen: de gegevens moeten niet-openbaar zijn. En dat zijn ze niet.

De Memorie van Toelichting (MvT) bij de Wet Computercriminaliteit III is daar helder over: "Degene die door misdrijf verkregen gegevens via het internet openbaar maakt is op grond van deze bepaling strafbaar, maar niet de persoon die via het internet openbaar gemaakte gegevens download." (Kamerstukken II 2015/16, 34 372, nr. 3, p. 87). Het criterium is feitelijke toegankelijkheid, niet de aard of gevoeligheid van de gegevens. De WODC-evaluatie van diezelfde wet omschrijft 'niet-openbaar' als "niet voor het publiek beschikbaar" (WODC, 2025, p. 48). Ook het Gerechtshof Den Haag bevestigde dit en sprak de verdachte vrij van gegevensheling: gegevens die reeds via openbare internetbronnen beschikbaar zijn, voldoen niet aan het vereiste 'niet-openbaar' van art. 139g Sr (ECLI:NL:GHDHA:2024:217, 14 februari 2024).

Het artikel erkent zelf dat de datasets inmiddels vrij via Google te vinden zijn en dat directe download-URL's op fora worden gedeeld. De auteur noemt dit een 'vervaging', maar de MvT trekt hier een harde grens: zodra gegevens vrij toegankelijk op het internet staan, is niet voldaan aan het bestanddeel 'niet-openbaar'. De .onion-pagina van ShinyHunters verwijst direct naar een regulier HTTP-adres: http://xx.xx.xxx.xx/pay_or_leak/odido/. Geen Tor vereist, gewoon bereikbaar via elke browser. Ethical hacker Sijmen Ruwhof vatte het tegenover RTL Nieuws samen: "Met één druk op de knop kun je met iedere internetverbinding nu zonder speciale software de gelekte persoonsgegevens downloaden" (Bunskoek & Verlaan, 2026).

Daarbij vermengt het artikel twee verschillende delicten. Art. 138c Sr (gegevensdiefstal) ziet op het wederrechtelijk overnemen van gegevens uit een "geautomatiseerd werk", oftewel uit de bron (de Odido-database zelf). Dat is wezenlijk anders dan het downloaden van een reeds gepubliceerde dataset. Art. 139g Sr (gegevensheling) vereist niet-openbare gegevens, en aan dat vereiste wordt, zoals betoogd, niet voldaan.

Tot slot: Engelfriet noemt zijn standpunt dat het dark web per definitie niet-openbaar is op zijn blog expliciet een "stellige overtuiging", zonder wetgeving of jurisprudentie aan te voeren (Engelfriet, 2026). Opmerkelijk, want in 2023 schreef hij over hetzelfde type scenario, een online gepubliceerd datalek: "de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. [...] Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar" (Engelfriet, 2023). De wet is sindsdien niet gewijzigd.

Disclaimer: Bovenstaande is een juridische analyse op basis van primaire bronnen, geen aanmoediging om gelekte data te downloaden.

Update: Engelfriet en de redacteur hebben gereageerd. Reactie op Engelfriet staat hier, inclusief hoe België en Duitsland hiernaar kijken.

Bronnen:

[Reactie gewijzigd door TouW op 3 maart 2026 16:39]

Reageer
Arnoud Engelfriet @TouW3 maart 2026 13:02
Velen hebben mijn mening uit 2023 geciteerd. Ik ben in de tussentijd van mening veranderd.

Het centrale punt is dat "niet-openbaar" geen eenduidig criterium is. De wetgever werkt niet uit wat deze ermee bedoelt. De opmerking over "feitelijke toegankelijkheid" helpt niet, want iedere URL is dat bij een 200 response code, maar example.com/256willekeurigetekens vind ik niet "openbaar". Daarvoor is meer nodig, en ik twijfel steeds harder wat dan precies.

Een argument dat wat ondergesneeuwd is geraakt, is het teleologische argument dat dit wetsartikel bedoeld is om slachtoffers te beschermen en datahandel/doorgeven tegen te houden. "Openbaar" betekent dan "het is nu op zo veel plekken, ondoenlijk het nu nog tegen te houden". Vanuit dat perspectief is "het staat alleen op het Dark Web" nog "niet-openbaar" want dat is één beperkte plek waar weinigen hun weg weten.

Ik zie wat je zegt over " http://xx.xx.xxx.xx/pay_or_leak/odido/." Allereerst was die URL nog niet bekend toen ik voor het eerst hierover bevraagd werd. Ten tweede blijft dan de vraag hoe mensen moesten weten dat die URL bestond. Dit is/was een werkende URL dus technisch toegankelijk, maar als niemand 'm weet te vinden, is dat dan toch "feitelijk toegankelijk" zoals de wetgever bedoelde?

(Wat jammer dat ik niet getagd was, ik zie dit bericht nu pas.)
Reageer
TouW @Arnoud Engelfriet3 maart 2026 14:45
Over de vindbaarheid: je stelt dat een werkende URL die niemand kent niet "feitelijk toegankelijk" is in de zin die de wetgever bedoelde. In theorie verdedigbaar.

Maar de praktijk heeft die vraag beantwoord. De data is vindbaar via zoekmachines en wordt op meerdere fora gedeeld. *knip* Dat was onvermijdelijk vanaf het moment van publicatie op een open HTTP-server zonder enige authenticatie. De drempel is niet meer dan een zoekopdracht.

Je teleologische argument dat art. 139g bedoeld is om slachtoffers te beschermen roept de vraag op: wiens belang krijgt voorrang? De 6 miljoen getroffen burgers willen weten of hun BSN en paspoortgegevens op straat liggen, terwijl Odido slechts mailt dat gegevens "mogelijk" zijn gelekt en Check je Hack niet specificeert wélke gegevens het betreft.

De data circuleert al oncontroleerbaar. De vraag is niet óf die gegevens verspreid worden, maar of de getroffen burger mag weten wat er van hem op straat ligt. Als het doel slachtofferbescherming is, dan zijn de slachtoffers hier de burgers, niet de partij die de beveiliging niet op orde had.

Onduidelijkheid in een delictsomschrijving mag niet ten nadele van de burger worden uitgelegd. Bovendien is een teleologische interpretatie ondergeschikt aan wat de wetgever in de MvT expliciet heeft toegelicht.

België en Duitsland: in Duitsland vereist de meest verwante bepaling (§202d StGB) een verrijkingsoogmerk of het doel een ander te benadelen, waardoor een burger die zonder die oogmerken zijn eigen gelekte gegevens wil inzien niet snel binnen de reikwijdte van dat artikel valt, ook wanneer de bron niet-openbaar is. België kent helemaal geen zelfstandig delict voor het downloaden van gelekte gegevens.

Maar zelfs als de data niet-openbaar is, is Nederland het enige van de drie landen waar het enkele downloaden zonder winstoogmerk direct strafbaar kan zijn. Dat is geen toeval. De wetgever maakte met het openbaarheidscriterium in de MvT een bewuste, uitvoerig toegelichte keuze. Die verdient serieus genomen te worden, ook wanneer het resultaat onwelgevallig is.

Disclaimer: dit is een juridische analyse, geen aanmoediging om gelekte gegevens te downloaden.
Admin-edit:Specifieke informatie verwijderd.

[Reactie gewijzigd door Dirk op 4 maart 2026 16:11]

Reageer
Ken Wood @Arnoud Engelfriet4 maart 2026 08:59
@Arnoud Engelfriet Ik ben het met je eens dat de wetgever niet-openbaar wel iets beter had mogen toelichten, maar ik ben het niet met je eens dat als de gegevens alleen op het darkweb staan, deze per definitie niet openbaar zijn. In principe heeft iedereen toegang tot het darkweb alleen weten velen niet hoe ze er komen. Maar het is ook niet heel moeilijk om toegang te krijgen en er is bijvoorbeeld geen poortwachter die gebruikers al dan niet toelaat.

Ik vind het telelogische argument om slachtoffers te beschermen ook niet heel sterk, want dat is te algemeen geformuleerd en is dit niet het doel van elke bepaling uit het Wetboek van Strafrecht? Ik lees in de MvT dat het doel meer is om het op internet beschikbaar maken van gestolen gegevens strafbaar te stellen. Juist voor die gevallen dat de politie gestolen gegevens aantreft bij iemand, maar niet bewezen kan worden dat deze peroon de gegevens zelf heeft overgenomen (gehackt) biedt art. 139g een oplossing.

De MvT is misschien over de definitie van niet-openbaar niet heel duidelijk, maar over het achterliggende idee wel:

Degene die door misdrijf verkregen gegevens via het internet openbaar maakt is op grond van deze bepaling strafbaar, maar niet de persoon die via het internet openbaar gemaakte gegevens download. Zonder deze beperking zou het van het internet downloaden van gegevens die eerder door misdrijf zijn verkregen en door een ander zijn geupload in het algemeen strafbaar worden (Kamerstukken II 2015/16, 34372, 3, p. 89).
Reageer
Hans1990 @TouW3 maart 2026 00:51
Ik vind de stelling over dark web op z'n minst opmerkelijk.

We zijn gewend dat computers met elkaar babbelen over HTTP. Je klikt op links en je komt dan op andere webpagina's. Laat ik dit als uitgangspunt nemen als "openbaar". Maar wat nou als we een ander protocol bedenken? Ja die hebben we al: HTTP2, HTTP3/QUIC, nieuwe manieren van TLS handshakes. Naadloos geintegreerd in elke moderne browser. Is dit een automatisch verlengstuk van openbaar? Want zolang ik mijn computer niet update (waaronder uiteindelijk mijn OS) gaat die support er ook niet in komen. Als ik mijn Windows 10 computer nog lang genoeg laat staan gaat die in de toekomst niet bij de nieuwste websites meer komen.

En wat als ik wel bewust moeite doe om ook andere protocollen te kunnen gebruiken. Bijvoorbeeld om door de vuurmuur van china te komen. Zijn die sites daarachter wel of niet openbaar? Voor de mensen in china waren ze dat immers wel.. Misschien slecht voorbeeld want de NL wet geldt niet voor mensen in China. Maar zo'n virtuele barriere hoeft feitelijk geen landsgrenzen te kennen.

En om even oude koeien uit de sloot halen: als ik een URL zie met userprofile.php?id=420. Als ik daar dan id=1337 van maak, is die pagina dan wel of niet openbaar geweest? Mijn inziens zou je dan moeten bewijzen dat nergens een link naar die pagina is geweest (op z'n minst vanaf die website), immers had ik er dan ook kunnen komen door gewoon rond te klikken.

Echter bewijs leveren voor iets dat bestaat is een stuk makkelijker dan voor iets dat er nooit is geweest ("Kijk hier een lege doos vol bewijs"). Vooral aangezien bijna alle sites tegenwoordig automatisch worden gegenereerd, waar bugs in kunnen zitten, en waarbij we internet archieven en zoekmachines hebben waar je (referenties naar) oude informatie kan terugvinden.

Daarmee vind ik "Niet voor het publiek beschikbaar" steeds meer ambigu als ik kijk naar de technische implicaties kijk. Dus moeten we dan een vage parallel maken met de fysieke wereld, bijvoorbeeld dat iets toegankelijk moet zijn vanuit de openbare ruimte? Volgens mij gaat beeldspraak tussen fysieke en digitale wereld zelden goed samen (met de bekende parodie: "you wouldn't download a car").
Of gaan we "openbaar" ophangen aan nog een vaag instrument als 'computer vaardigheden van een gemiddeld individu'.. ook dat lijkt mij onhoudbaar.

En om nog verder advocaat van de duivel te zijn: in het beginsel hebben we het hier over computers die requests ontvangen en afserveren. Als server beheerder heb je zelf in de hand welke requests worden afgehandeld. Daar kan je een strakke lijn neerzetten wat wel of niet openbaar is. Alles dat die strakke lijn passeert (bvb door middel van computervredebreuk) is dan mogelijk strafbaar. Echter er kunnen er ook configuratiefouten ontstaan, zoals een open directory. Maar is dit niet zoiets als een politicus "Positie Omtzigt, functie elders" perongeluk liet fotograferen?

Tot zover mijn "download a car"-achtige vergelijking... maar stel je wilt iets van het internet raadplegen, dan zou je een boomstructuur kunnen maken van alle mogelijke paden (ofwel: pagina's die doorlinken) om bij een bepaalde pagina te kunnen komen. Als je stelt dat die pagina voor publiek onbereikbaar had moeten zijn, dan zou je daarvan moeten bewijzen dat alle mogelijke paden ten alle tijden onderbroken waren geweest, tenzij er iets wederrechtelijks is uitgevoerd. Iets dat mij praktisch onmogelijk lijkt om te bewijzen. Wederom: lege doos vol met bewijs..

Goed, ik draaf nu een beetje door. En ik zit tenslotte totaal niet in de juridische wereld. Soms hebben wetten niet met wiskundige bewijsbaarheid te maken, maar des te meer met waarschijnlijkheid en overtuigingskracht van een argument. Echter ik vind hierin toch een kloof ontstaan tussen hoe de digitale wereld werkt&evolueert en hoe die juridisch wordt afgeschetst.

[Reactie gewijzigd door Hans1990 op 3 maart 2026 00:57]

Reageer
Cid Highwind @Hans19903 maart 2026 08:05
Lang verhaal kort, omdat je er enkel via TOR bij kunt komen, en niet direct via Google, zou het niet openbaar zijn, wat eigenlijk kolder is?

Daar valt naar mijn mening namelijk geen speld tussen te krijgen. “You wouldn’t download a car” is een prachtige referentie. Want met dezelfde logica als hierboven zou je dan data via torrents als “niet openbaar” kunnen of zelfs moeten beschouwen, omdat een standaard computer geen directe download kan doen vanwege de benodigde extra stap van het installeren en configureren van specialistische software voor dat doel (een torrent cliënt).

Het stellen dat het openbaar (zonder betaling of ingeven van credentials) ter beschikking stellen van data op het darkweb géén openbaring zou zijn, zou van het ter beschikking stellen van films en muziek via torrents volgens diezelfde logica dus ook géén openbaring zijn, met alle implicaties van dien.
Reageer
Heedless @Cid Highwind3 maart 2026 10:05
Lang verhaal kort, omdat je er enkel via TOR bij kunt komen, en niet direct via Google, zou het niet openbaar zijn, wat eigenlijk kolder is?
Er is een hoop te zeggen over het dark web, gestolen data en alles daar omheen, maar dit onderdeel is inderdaad gewoon flauwekul.

Dat het dark web niet openbaar is, is altijd zo'n onzin. De enige 'speciale' handeling is dat je de Tor Browser moet downloaden, maar hoe is dat anders dan na een nieuwe Windows installatie even Firefox downloaden? En er zijn zat websites waarvan ik de URL niet meer weet en die ik opzoek via Google, Bing, Duckduckgo, whatever. Hoe is dat anders dan OnionFind of Torch gebruiken om iets te vinden?
Reageer
Wouterie @Heedless3 maart 2026 15:02
Eens. Er is feitelijk voor alle informatie op het internet een 'speciale' handeling nodig. Al is het maar een apparaat aanschaffen wat het internet op kan, een browser openen zodat de mens er ook nog wat van kan maken en dan ook nog eens de juiste dingen intypen zodat je er komt. Heel speciaal allemaal... Zo speciaal dat mijn ouders het zonder mijn hulp echt niet zomaar kunnen.
Reageer
bergsegek @Cid Highwind3 maart 2026 13:31
but i would download a car if i could 8)7
Reageer
dehardstyler @bergsegek3 maart 2026 15:31
Nou ik heb al auto's gedownload hoor en nog uitgeprint ook! :+
Reageer
Jerie
@TouW2 maart 2026 23:30
De .onion-pagina van ShinyHunters verwijst namelijk direct naar een regulier HTTP-adres (http://xx.xx.xxx.xx [...] ), geen Tor vereist, gewoon bereikbaar via elke browser.
Hier wil ik nog even op reageren: dat IPv4 betreft een Russisch AS: AS211663 (Galeon LLC).

Ik postte daarover op 27 feb op GoT: Jerie in "Hybride oorlog in Europa - Bescherming van onze democratie"

Ik wil dat IP niet publiekelijk delen, maar eigenlijk is het wel publiek (zelfs via clearnet eenvoudig te vinden ...). Men kan deze verbinding blokkeren op netwerkniveau, door dat aan hun upstream peer (RETN uit het VK) te vragen vorderen. Het feit dat onze autoriteiten dat niet hebben gedaan, zegt mij dat men aanneemt dat de gegevens 'in het openbaar' te grabbel liggen. Wat men ook zou kunnen doen is de verbinding MITM'en (het is verdorie plaintekst HTTP!!). Men kan packets manglen, men kan er TCP RSTs doorheen knallen, men kan de verbinding afknijpen. Noem maar op!

Helaas wel zo dat ik toen ik daarachter kwam ik wist dat de rapen gaar waren. Als de data nog bijvoorbeeld bij OVH of Hetzner stond, had je dat gauw plat kunnen leggen (inbeslagname), en misschien zelfs de uploader kunnen achterhalen. Een Russisch bedrijf uit St. Petersburg gaat hier in februari 2026 nooit aan meewerken, maar je kunt ze wel 'terughacken', Nederlandse overheidsdienst zijnde. Of niet. Je kunt het ook accepteren dat het in de openbaarheid ligt. Mijn vraag aan de politiële diensten is: welke optie was hier van toepassing?

En dan nog iets. Als onze schoonmoeders dusdanig worden gehackt of gescamd dat onze erfenissen ervandoor gaan, of dit hen emotioneel raakt (mijn moeder is al behoorlijk opgelicht paar jaar terug, malafide slotenmaker) dan 'mag dat niet' en is dat 'bijzonder spijtig', maar daar koop ik niets voor. Men heeft het over eigen verantwoordelijkheid nemen en oplettend zijn. Als je je wilt verdedigen, is het nuttig te weten waar tegen. Om te weten waar tegen, is het nuttig in te zien wat er over jou is gelekt. Niet ongeveer, maar exact. Met name omdat er allerlei mensen zijn die van Odido of HIBP geen emailtje kregen, maar na eigen onderzoek er wel in bleken te staan, of erachter kwamen dat het verouderde data betrof die allang gewijzigd was. Je hebt er dus gegrond belang bij (of de wet daarin voorziet, weet ik niet).

De insteek die ik liever zie, is die over data hygiëne en ethiek. Vergeet het dat mensen dit niet zouden downloaden; dat doen ze wel. Maar als ze dat dan doen, dan moeten ze ethisch met de data omgaan (dus niet bijvoorbeeld zoeken naar je eerste vriendje, een random BN'er, de boel verder verspreiden, enz.). Bovendien verzekeren dat de data niet lekt (ook niet in metadata), en dat men de data adequaat gaat verwijderen. Die discussie mist, omdat de focus ligt op het dempen van de hoeveelheid downloads. Maar dat stukje is eigenlijk het simplistische deel van het verhaal. Want dat is een kwestie van een http:// link.

En het doel van dit alles? Om bij boefjes die deze dataset in bezit hebben een kapstokwet te hebben, waarbij men dan zoiets heeft van: tja, we kunnen op zich niet bewijzen wat deze meneer ('t zijn altijd mannen :P vaak jongemannen) met de data heeft gedaan, maar we zien wel dat hij data uit een datalek in bezit had. Dat is strafbaar, dus pakken we 'm daar maar op.

PS: Oef, blijkbaar weet de AI tool van de dude die op 20 jan de hitlergroet bracht ook de URL, en deelt deze met droge ogen...

[Reactie gewijzigd door Jerie op 2 maart 2026 23:46]

Reageer
DJanmaat @TouW3 maart 2026 00:56
De kop is stelliger dan het recht toelaat.

Het artikel leunt op art. 138c en 139g Sr. Beide schieten tekort. Art. 138c ("gegevensdiefstal") betreft het overnemen van gegevens uit een geautomatiseerd werk — Odido's systemen. Downloaden vanaf een HTTP-server is dat niet. Art. 139g ("gegevensheling") vereist dat gegevens niet-openbaar zijn.

Drie gezaghebbende bronnen zijn eenduidig over dat begrip: de MvT (Kamerstukken II 2015/16, 34 372, nr. 3, p. 64) stelt dat gegevens op internet openbaar zijn mits het publiek er toegang toe heeft. Het Gerechtshof Den Haag (ECLI:NL:GHDHA:2024:217) oordeelde dat verwerving van reeds openbaar gemaakte gegevens niet strafbaar is onder dit artikel. De WODC-evaluatie (Cahier 2025-10, januari 2026) hanteert hetzelfde criterium. De dataset is via regulier HTTP bereikbaar, via Google vindbaar en op fora gedeeld — wat het artikel zelf erkent. Het bestanddeel "niet-openbaar" is niet vervuld.

Het pijnlijkste punt: Engelfriet schreef op 15 december 2023 op Ius Mentis over exact dit type scenario: "de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen" en "Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen." De wet is sindsdien niet gewijzigd. Zijn huidige standpunt dat het dark web per definitie niet-openbaar is, noemt hij zelf een "stellige overtuiging" — zonder verwijzing naar wetgeving of jurisprudentie.

Zelfs áls een rechter de data als niet-openbaar zou kwalificeren: lid 2 van art. 139g Sr biedt een strafuitsluitingsgrond voor wie te goeder trouw in het algemeen belang handelt. Burgers die hun eigen gelekte BSN of paspoortgegevens willen kennen terwijl Odido AVG-inzageverzoeken frustreert en Check je Hack niet specificeert welke gegevens zijn gelekt, hebben daar een stevig beroep op.

Downloaden is niet per se verstandig. Maar "hartstikke illegaal" wordt niet gedragen door de MvT, de jurisprudentie, de WODC-evaluatie, én Engelfriet's eigen eerdere analyse.
Reageer
B Tender @TouW2 maart 2026 23:19
Die term 'niet-openbaar' is ook exact wat bij mij mn wenkbrauwen deed rijzen. Maar jij hebt het gelijk ook heel duidelijk verwoord hier.
Reageer
AuteurYannickSpinner Redacteur @TouW3 maart 2026 10:23
Ik vind het oprecht een heel nuttig en goed onderbouwd tegenargument! Voor de duidelijkheid: ik heb dit artikel gebaseerd op uitleg van Engelfriet en het OM omdat ik geen jurist ben.

De gelinkte stukken geven een iets andere interpretatie van de wet waardoor het wél toegestaan zou zijn om dingen te downloaden. Ik durf dat statement niet te maken, maar vermoedelijk ligt de waarheid ergens in het midden. Hopelijk kan de lezer zo een geïnformeerde keuze maken!
Reageer
TouW @YannickSpinner3 maart 2026 15:35
Dank! Fijn dat je het debat open houdt.
Reageer
Baserk @TouW3 maart 2026 00:38
Chapeau.
Ben benieuwd naar de reactie van dhr Engelfriet...
Reageer
DaveFlash @TouW3 maart 2026 20:40
je slaat hier de spijker op zijn kop! juist omdat onze wetgeving die eerste zin nog altijd kent en als actieve wet geldt,
"Degene die door misdrijf verkregen gegevens via het internet openbaar maakt is op grond van deze bepaling strafbaar, maar niet de persoon die via het internet openbaar gemaakte gegevens download"
is precies waarom de politie in Nederland, anders dan andere EU landen zoals Duitsland, nog altijd niet achter downloaders van muziek, films, series etc aangaat. En de Odidio gegevens komen, hoe krom we het ook vinden, op hetzelfde neer. Voor de Nederlandse wet is dat hetzelfde als een op niet-legitieme wijze verkregen mp3, mkv of epub. It's as simple as that.

Met andere woorden: klein bier, Politie komt dus niet achter je aan. Maar plz, doe niks met die data en helemaal geen tools maken of wat ook of verder delen. Zoek van mij part wel jezelf op in de file als je persé wil, noteer de info, maak melding bij AP en klacht bij Odido en delete dan de hele data set.

[Reactie gewijzigd door DaveFlash op 3 maart 2026 20:43]

Reageer
KnoxNL 2 maart 2026 18:07
Maar er is toch gewoon een manier om daar achter te komen die legaal is?

Namelijk Odido vragen alle gegevens en correspondentie en andere zaken die ze over jou in hun bezit hebben aan te leveren, en aan te geven welke daarvan gelekt zijn?


Zij weten dat gewoon en bij een opvraag MOET een bedrijf daaraan meewerken voor zover ik weet.
Reageer
robertwebbe @KnoxNL2 maart 2026 19:28
Alleen per papieren post aan te vragen:

https://assets.odido.nl/x...-persoonsgegevens-itv.pdf
Reageer
WargamingPlayer @robertwebbe2 maart 2026 19:38
Is ook te mailen.
Reageer
PWR. @WargamingPlayer2 maart 2026 20:39
Dat lijkt mij heel erg sterk. Er is geen email adres bekend van Odido
Reageer
tiies @PWR.2 maart 2026 20:44
Staat op het formulier: persoonsgegevens@odido.nl
Reageer
sir_knudde @tiies2 maart 2026 20:50
En dan krijg je na een week de volgende reactie, ook als je het formulier hebt bijgevoegd aan het verzoek:


Bedankt voor je bericht.

We begrijpen dat je graag wil weten welke persoonsgegevens wij precies van je bewaren.

Veel gegevens vind je in Mijn Odido. Wil je een volledig overzicht ontvangen? Dan kan je een inzageverzoek indienen. We vragen je om hier ons formulier voor te gebruiken. Bij het invullen stellen we een paar vragen om je identiteit te checken.

Je vindt het formulier op https://www.odido.nl/service/brochures-en-formulieren onder ‘Aanvraagformulieren privacy’. Zodra we het ingevulde formulier van je hebben ontvangen, nemen we het in behandeling en sturen we je zo snel mogelijk een reactie.

Alle beschikbare informatie over het incident kan je vinden op de webpagina https://www.odido.nl/veiligheid.

We zijn er voor je,
Mike van Odido
Reageer
WargamingPlayer @sir_knudde2 maart 2026 21:33
Het probleem is dat je dus al je gegevens moet geven om de informatie te verkrijgen. Catch-22 situatie dus. En ik heb die formulieren bekeken en je krijgt dus niet de informatie waar je naar op zoek bent.

De enige oplossing is om via een rechter dus de informatie boven water te krijgen.
Reageer
mynewacc @sir_knudde2 maart 2026 23:33
"Bij het invullen stellen we een paar vragen om je identiteit te checken". Maar is niet juist alles daarvan zo ongeveer gelekt? Laatste factuurbedrag is misschien wel nog een uitdaging.
Reageer
Accretion @mynewacc3 maart 2026 07:02
Goed punt, hoe willen zij jouw identiteit gaan verifiëren als ze net alle informatie die ze over jouw hebben met de rest van de wereld gedeeld hebben?
Reageer
bw_van_manen @mynewacc3 maart 2026 09:00
Ze zijn juist door dit datalek overgestapt van laatste x nummers IBAN naar het laatste bedrag omdat die bedragen niet gelekt zijn.
Reageer
PWR. @tiies3 maart 2026 08:17
Ik stuur ze aan aangetekende brief. Krijg binnen 1 dag antwoord van service@odido.nl. Dus ik reageer via email. Krijg bericht terug. Stuur weer een reply en krijg dan het antwoord dat communicatie via service@odido.nl niet meer mogelijk is.

Een email adres, als je het al kan vinden, zegt niet zo veel. In ieder geval niet bij Odido is mijn ervaring.
Reageer
WargamingPlayer @PWR.2 maart 2026 21:18
Op het formulier staat het e-mail adres.
Reageer
PWR. @robertwebbe2 maart 2026 20:33
Dan ga je naar superpost en binnen 5 minuten en een ideal betaling heb je een papieren brief met verzend bevestiging.
Reageer
HijDieAllesWeet @PWR.2 maart 2026 21:28
Ik wist niet dat dat kan! Laatst nog echt lang bezig geweest. Naar de printshop en dan nog ergens enveloppen gaan kopen waarvan je er dan ook gelijk een heel pak hebt die nooit opgaan. Dat je online een postzegel kan kopen wist ik dan nog wel.

En ik had me eigenlijk ook wel kunnen bedenken dat dit tegenwoordig helemaal online kon eigenlijk maar ik wist het niet. Superpost ziet er echt superhandig uit en nog goedkoop ook. Dit ga ik zeker onthouden mits ik ooit nog een papieren brief moet sturen.
Reageer
gertk @HijDieAllesWeet3 maart 2026 05:48
en hoe weet je of Superpost betrouwbaar is ?
Reageer
HijDieAllesWeet @gertk3 maart 2026 11:53
Ja dat weet ik niet. Het lijkt mij wel het bestaansrecht van dat bedrijf om de brieven daadwerkelijk op de post te doen? Je zou natuurlijk de brief ook aan je zelf kunnen sturen. Dan kun je tenminste zien of die wel aankomt. Maar zeker weten doe je het niet.

Waarom zou je denken dat superpost het werk niet uit zal voeren?

Ik heb even de faq door gekeken. Je krijgt wel een e-mail als ze de brief aan het postkantoor hebben gegeven. Kunnen ze natuurlijk ook sturen zonder het te doen maar dat lijkt mij wel wat vreemd.

Wel even opletten volgens de faq staat er een qr code op de eerste pagina van de brief. Daarmee kan de ontvanger de brief als pdf downloaden van hun website. Opzich heel handig voor de ontvanger natuurlijk. Maar ze kunnen dus wel zien dat je superpost hebt gebruikt.

Als je echt zekerheid wil moet je het aangetekend versturen. Kan niet via hun. En dan moet je natuurlijk nog postnl op hun blauwe ogen geloven. Maar is wel iets van juridisch bewijs lijkt mij.


Ik kan verder niet echt reviews vinden. En ik zo ook niet echt een adres of kvk nummer. Er lijkt een Duitse partij achter te zitten. https://maps.app.goo.gl/uuMTFBnqF2SfuLqF6

Hier staat wel een soort duits kvk nummer https://www.pingen.nl/nl/impressum/ Via die site kun je ook gratis een test brief aanvragen.

Ik vind het allemaal niet echt onbetrouwbaar over komen eigenlijk.

[Reactie gewijzigd door HijDieAllesWeet op 3 maart 2026 12:03]

Reageer
Junketsu @PWR.3 maart 2026 08:33
Een verzendbevestiging, maar dus niet aangetekend?

En wat is dan een verzendbevestiging? Dat de brief op de post is gedaan?
Reageer
HijDieAllesWeet @Junketsu3 maart 2026 11:54
Ja gewoon dat superpost klaar is met hun kant van het verhaal en het verder bij postnl ligt.
Reageer
PWR. @Junketsu3 maart 2026 17:30
Een verzend bevestiging is vaak voldoende. De post wordt in 99,9% van de gevallen gewoon bezorgd.
Reageer
HarmJan1990 @robertwebbe2 maart 2026 21:27
Leuk formulier, maar wat als je geen klant meer bent?
Reageer
SilentLucidity @HarmJan19902 maart 2026 22:05
Ja. Dan zal ik toch echt eers de leak moeten downloaden om daar mijn oude klantnummer in te kunnen vinden :+
Reageer
Dj Neo Ziggy @robertwebbe2 maart 2026 19:57
Laat ik maar niet denken aan de terugstuur actie van de cd met gratis internet actie van x jaar geleden.
Reageer
TouW @robertwebbe2 maart 2026 22:36
Alleen per papieren post aan te vragen:

https://assets.odido.nl/x...-persoonsgegevens-itv.pdf
Het formulier hoeft niet per post. Onderaan staat:

"Mail het formulier naar persoonsgegevens@odido.nl. Of stuur het per post: Postbus 16272, 2500 BG, Den Haag."

Overigens ben je wettelijk niet verplicht dit formulier te gebruiken. Een inzageverzoek onder de AVG is vormvrij: een e-mail naar persoonsgegevens@odido.nl volstaat, zolang je vermeldt dat het om een inzageverzoek gaat (art. 15 AVG) en voldoende gegevens meestuurt om je identiteit te verifiëren.
Reageer
kdekker @KnoxNL2 maart 2026 19:15
Terechte vraag, maar... Als je last hebt (gehad) van een lek, ligt de prioriteit eerst bij het opsporen (forensisch onderzoek) en oplossen (als je weet te achterhalen waar alle lekken zaten). Het is ook maar de vraag of 100% deugdelijk te achterhalen is welke gegevens allemaal zijn gekaapt. Je hebt niet overal transactie of audit-logs van. Als ze eenmaal binnen zijn geweest via social engineering (en daar lijkt het nu op, als ik de berichtgeving lees), dan is het maar zeer de vraag of dit te achterhalen is. Hoe dan ook: ze zullen een afweging moeten maken tussen klanten en hun interne IT-infrastructuur.

Klanten kunnen best veeleisend zijn en onvoldoende oog hebben voor - hoe rottig ook voor de klant en onzekerheid over wat er nu gelekt is - de impact die een hack heeft een bedrijf heeft. Als de personen die de informatie voor de klant aan moeten leveren dezelfde zijn als die betrokken zijn bij de interne analyse, dan komen ze gewoon even handjes tekort.

Ik pleit niet voor Odido. Met de beperkte informatie die gedeeld is, lijkt het er mogelijk op dat ze dingen beter hadden kunnen doen. Overigins zei ooit iemand in security land ooit (lang geleden, weet ook niet meer wie): het is niet de vraag dat kwaadwillenden bij je binnen komen, maar wanneer. Dus daarom hoor je ook in je interne netwerk en infrastructuur segmentering toe te passen. Of dat ook mogelijk is voor een klantendatabase, dat is natuuurlijk een vraag. En ook al zou je segmentering en goede afbakening van rechten hebben, dan nog is het maar de vraag of je via auditing op bijv. je database de gevraagde antwoorden kunt geven. Als je complete DB gekopieerd is, zijn er geen audit records van de hackers.

Dus zelfs al zou het zijn dat een bedrijf juridisch verplicht is om te moeten meewerken (ik weet op dit vlak onvoldoende of dit ook echt zo is), dan nog is dat altijd in 'redelijkheid'. Dus bijv. binnen een redelijke termijn (waar bijv. een overheid het lang niet altijd lukt om bijv. de termijnen van WOO verzoeken te halen. Meestal zijn dat soort termijnen ook niet ingesteld om zeer grote aantallen verzoeken). Kortom: je kunt geen organisatie inrichten voor 'verzoek om antwoord' als dat een heel groot deel van je klantenbestand is.
Reageer
Jerie
@kdekker3 maart 2026 00:21
Logging, auditing, SOC, SIEM/XDR (op de clients van de medewerkers), versleutelde keys, rate limiting, FIDO2. Bij Odido heeft dat allemaal gefaald, klaarblijkelijk.

Rate limiting kan gewoon via Salesforce. [1]

Versleutelen van gevoelige data kan ook binnen Salesforce. [1] (en dit kun je ook nog handmatig doen ...) (zou je eens kunnen overwegen voor oud-klanten? Ik weet het niet, lijkt niet data die je dagelijks nodig gaat hebben? ¯\_(ツ)_/¯)

MFA telefonisch doorgeven, ik wil niet zeggen hoe dom kun je zijn, maar het is wel tegen te gaan: FIDO2 tokens kosten 20 EUR per stuk (zonder staffelkorting), en die van YubiCo werken officieel met Salesforce [2]

Ze hebben een SOC (in Den Haag, blijkbaar, zie de LinkedIn job offer die vorige maand is gesloten). Wat hebben die gedaan? Zagen die niet dat een medewerker de complete DB leegtrok? Zou je niet die medewerker's account moeten sluiten wanneer die meer dan 10 records per seconde leegtrekt? Hallo?!?

Odido neemt in deze kwestie graag de slachtofferrol in, maar ik denk dat een strafrechtelijk onderzoek i.v.m. grove nalatigheid hier op zijn plaats is.

[1] Salesforce Shield https://www.salesforce.com/eu/platform/shield/

[2] https://www.yubico.com/wo...bikey/catalog/salesforce/
Reageer
hans-martijn @kdekker2 maart 2026 20:36
Als jouw complete database gekopieerd is, heb je in ieder geval niet gemonitord, want een willekeurige medewerker heeft als het goed is niet de mogelijkheid of behoefte om zoveel data in één keer te downloaden. Dit is daadwerkelijk (zeker na alle waarschuwingen van hun eigen leverancier) grove nalatigheid van Odido en zou tot in ieder geval een torenhoge boete vanuit de AP moeten leiden. Ondanks dat ik tot nu toe best tevreden was met de service, zou ik het liefst nu al mijn abonnementen opzeggen. Odido heeft geen enkele moeite gedaan om mijn persoonlijke data te beschermen. Eerst niet met veilige opslag, daarna niet met een half miljoen om de schade te beperken. Zo ongeveer iedere actie van Odido is ernstig teleurstellend!
Reageer
kdekker @hans-martijn2 maart 2026 21:17
Veel systemen hangen aan internet en hebben lang niet altijd een upload limiet. Als iemand binnen is en voldoende rechten heeft, dan is een upload doorgaans niet ingewikkeld en monitoring niet in beeld, iig doorgaans niet voor wat ik zie en mee werk. Bij grote(re) bedrijven zit mogelijk wel endpoint protectie en zijn limieten van toepassing. Maar dat vergt doorgaans dure hardware/software. Budgetten voor veiligheid zijn lang niet altijd toereikend. Ik weet te niet in hoeverre onkunde of budget of laksheid oorzaak is voor gebrekkige of niet optimale beveiliging. Waarschijnlijk is het te vaak een mix 😉.
Reageer
GuruMeditation @kdekker2 maart 2026 22:16
Een bedrijf met minstens 6 miljoen (oud) klanten, mag zich toch wel tot een van van de grotere bedrijven noemen.
Reageer
Houtenklaas @kdekker2 maart 2026 21:58
Je somt exact op wat er mis zat. Waarom hangt dergelijke informatie aan het internet? Dat het risicovol is hebben we al ondervonden. Daarnaast, wat is een "groter" bedrijf? In 2024 groeide de Odido omzet naar 2,3miljard. Dat is niet kinderachtig toch? Dan is iets wat voor mij "duur" is ineens relatief betaalbaar voor Odido. En dan word je gewaarschuwd en doe je daar (ogenschijnlijk) ook niets mee.

En nee, het is echt niet nodig om een kantooromgeving aan het internet te koppelen, daar zijn veel "best practices" voor hoe dat heel veel handiger kan. Maar dat is allemaal mosterd na de maaltijd. Odido heeft simpelweg groots en meeslepend gefaald. In alles. En als "onkunde" de oorzaak zou zijn van deze faalactie, dan is dat alleen maar NOG erger. Bewust onbekwaam is het ergste wat iemand of iets kan zijn.
Reageer
jigalvh @kdekker2 maart 2026 20:58
Het is ook maar de vraag of 100% deugdelijk te achterhalen is welke gegevens allemaal zijn gekaapt. Je hebt niet overal transactie of audit-logs van. Als ze eenmaal binnen zijn geweest via social engineering (en daar lijkt het nu op, als ik de berichtgeving lees), dan is het maar zeer de vraag of dit te achterhalen is.
Als ik zie welke gegevens ze hebben gestolen dan verwacht ik inderdaad niet dat er gelogd wordt wat er wordt geraadpleegd door wie.
Klanten kunnen best veeleisend zijn en onvoldoende oog hebben voor - hoe rottig ook voor de klant en onzekerheid over wat er nu gelekt is - de impact die een hack heeft een bedrijf heeft.
Ja, hoe rottig het voor het bedrijf is dat z'n zaakjes niet op orde had (heeft). U legt de lat wel laag voor het "getroffen" bedrijf. Dat bedrijf had invloed op de beveiliging, hun klanten hadden dat niet. Het betreft hier ook nog een ISP en die zou beter op de hoogte moeten zijn van beveiliging en de methodes van hackers. Als ik dan de vertegenwoordiger van Odido hoor praten over "siebercriminelen" dan werd het niveau van dit bedrijf meteen duidelijk.
Ik pleit niet voor Odido. Met de beperkte informatie die gedeeld is, lijkt het er mogelijk op dat ze dingen beter hadden kunnen doen. [...] Dus daarom hoor je ook in je interne netwerk en infrastructuur segmentering toe te passen. Of dat ook mogelijk is voor een klantendatabase, dat is natuuurlijk een vraag.
Naast segmentering gaat het vooral over gegevens die een helpdeskmedewerker moet kunnen verifiëren. Daarvoor is het niet nodig om die gegevens ook te zien. Ze hadden in het systeem wat kunnen inbouwen waarmee alleen wordt aangegeven of de ingevoerde gegeven (bijv. rekeningnummer) juist is.

Daarnaast vraag ik mij af waarom ze sommige gegevens überhaupt hadden. Bij de ISP's en mobiele providers waar wij de afgelopen jaren mee te maken hebben gehad werd niet gevraagd om gegevens als BSN en identiteitsbewijzen.

Ook de bewaartermijn is volgens mij "een dingetje". Al moet je gegevens als adres, bankrekening nog een tijd voor administratieve doeleinden (belastingdienst) bewaren, dan nog hoeft dit niet in een systeem voor een helpdesk.
En ook al zou je segmentering en goede afbakening van rechten hebben, dan nog is het maar de vraag of je via auditing op bijv. je database de gevraagde antwoorden kunt geven. Als je complete DB gekopieerd is, zijn er geen audit records van de hackers.
Kijk eens naar de (mislukte) inbraakpoging bij TU Eindhoven. Hoewel de hackers een aantal dagen konden rondkijken werd het wel direct opgemerkt toen ze bij gevoelige gegevens probeerden te komen. Het hele netwerk werd direct uitgeschakeld en stukje bij beetje na controle ingechakeld. Het was geen perfecte bescherming, maar er was voldoende geregeld om ernstige schade te voorkomen.

Bij veel instellingen in de gezondheidszorg is behoorlijk strak geregeld wie waartoe toegang heeft en mensen met meer toegang moeten regelmatig verantwoorden waarvoor ze gegevens nodig hadden.

Als het dan niet opvalt bij Odido dat een bepaalde medewerker zes-en-een-half-miljoen accounts raadpleegt dan zit er echt iets niet goed. Dat is geen slorigheid, dat is ernstige nalatigheid. De reacties van diverse advocaten zijn ook tenenkrommend. De AVG zou niet duidelijk zijn wat betreft een bewaartermijn? Nee, er staat niet in "een half jaar", maar wel: niet langer dan noodzakelijk. Gegevens van ex-klanten kunnen gearchiveerd worden; als er nog nota's open staan is het voldoende dat de financiële afdeling nog gegevens heeft.
Reageer
kdekker @jigalvh2 maart 2026 21:10
Er zat inderdaad genoeg mis bij odido. Mijn reactie is meer dat informeren van de klant in zo'n geval als deze niet de eerste prioriteit heeft. Noodgedwongen. Verder vergoelijk ik niets van Odido, maar schort ik mijn oordeel op. Ook in dezen staan de beste stuurlui vaak aan wal. Wel hoop ik dat Odido flink aangepakt wordt, als er sprake is van verwijtbaar handelen (ze hebben de schijn tegen), ook als afschrikking naar anderen. Ik weet ook heel zeker dat er meer bedrijven zijn, waar de zaken niet op orde zijn en AVG-gevoelige zaken opgeslagen worden.
Reageer
jigalvh @kdekker3 maart 2026 00:09
In het dagelijks leven bouw ik aan de backend van websites. We moeten inderdaad vaak advies geven aan klanten over wat wel en niet voldoet aan AVG/GDPR. Bedrijven hebben soms een onverzadigbare honger naar data en dat schuurt wel eens met dingen als privacy.

Ik hoop ook dat Odido behoorlijk aagepakt wordt; maar gezien andere datalekken ben ik daar verre van zeker van.
Reageer
pagani @KnoxNL2 maart 2026 18:42
Als ze mijn gegevens vele jaren na mijn vertrek nog hebben én ik geen mail krijg dat mijn gegevens gestolen zijn én ik inmiddels weet dat er wel data van mij gelekt is (maar niet welke), hoeveel vertrouwen heb je dan dat Odido überhaupt in staat is AL mijn gegevens aan te leveren?
Reageer
WillySis
@pagani2 maart 2026 19:00
Odido heeft de meldingen naar het laatst bij hun bekende email adres gestuurd. Als je dat niet meer gebruikt kon Odido je niet bereiken.

Als jij nog voldoende gegevens hebt waarmee Odido jouw gegevens terug moet kunnen vinden, dan heb je ook het recht om die gegevens op te vragen. Odido is dan ook verplicht om alle gegevens aan jouw ter beschikking te stellen. Of de interne meldingen daar ook bij horen is nog een bron van discussie. Bedrijven vinden dat dat niet bij jouw gegevens hoort, maar hun eigen communicatie is.
Reageer
The Zep Man
@WillySis2 maart 2026 19:24
Odido heeft de meldingen naar het laatst bij hun bekende email adres gestuurd. Als je dat niet meer gebruikt kon Odido je niet bereiken.
Ik weet van meerdere bestaande en voormalige klanten waarvan hun (bestaande) e-mailadressen en andere gegevens zijn gelekt, dat Odido met hen geen enkel contact heeft gezocht.
Reageer
WillySis
@The Zep Man2 maart 2026 19:34
Ik ben een oude klant en heb wel bericht gehad.
Het kan natuurlijk dat het bericht in de spam terecht is gekomen. Als dat ook is gecontroleerd, dan is een melding bij de AP niet overdreven, want een gehackt bedrijf moet wel enige moeite doen om (mogelijk) betrokken klanten te informeren.

Odido heeft zich op meerdere vlakken niet aan de wet gehouden (oa bewaartermijn) en het zou mij ook niet verbazen als ze niet alle klanten van wie de gegevens zijn gelekt op de hoogte hebben gesteld.
Reageer
R4gnax
@WillySis2 maart 2026 20:41
Het kan natuurlijk dat het bericht in de spam terecht is gekomen. Als dat ook is gecontroleerd, dan is een melding bij de AP niet overdreven, want een gehackt bedrijf moet wel enige moeite doen om (mogelijk) betrokken klanten te informeren.
In dat geval is een melding bij de AP in praktisch elk geval waar Odido niet met bestaande klanten gecommuniceerd heeft, terecht.

Ze kunnen namelijk altijd met bestaande klanten communiceren als deze een mobiel abo of prepaid hebben. Dat heet: stuur een SMS bericht.

En ze kunnen altijd met bestaande klanten communiceren als deze een glasvezel abo hebben. Dat heet: stuur een brief naar het huisadres van de aansluiting.

[Reactie gewijzigd door R4gnax op 2 maart 2026 20:42]

Reageer
Jerie
@R4gnax3 maart 2026 00:02
SMS is nagenoeg plaintekst. Ik heb liever niet dat ze wat dan ook communiceren per plaintekst, laat staan over datalekken. Ook SMS voor MFA moeten we als de wiedeweerga van af.
Reageer
R4gnax
@Jerie3 maart 2026 00:20
Welke gegevens er van je gelekt zijn, zijn van een andere orde als de waardes van die gegevens.
Reageer
Jerie
@R4gnax3 maart 2026 01:12
Nou ja, er is iets voor te zeggen van 'we hebben geen andere methode om deze klant te contacteren'. Aan de andere kant weet men ook niet van wie dat nummer nu is.

Plus, hier mag je de metadata velden niet delen, dus dan gek dat dergelijke metadata als platte tekst wordt verzonden via de ether.

En zeggen tegen iedere Nederlander: jouw data is gelekt is weer te grof geschut.
Reageer
R4gnax
@Jerie3 maart 2026 19:31
Aan de andere kant weet men ook niet van wie dat nummer nu is.
Bij bestaande klanten?
Reageer
Jerie
@R4gnax3 maart 2026 22:22
Ja, bij hen wel. Toch ben ik van mening dat men het beter per e-mail kan versturen, dan per SMS. SMS als laatste redmiddel, dat is een goede vraag. Je zou kunnen argumenteren het is het nu waard. Aan de andere kant, we moeten echt af van SMS gebruik voor gevoelige data. Mensen doen hier veel te laconiek over. Mijn tandarts heeft mij afgelopen weken meerdere keer SMS gestuurd met de vraag of ik mijn afspraak wil vervroegen. Ik wil zoiets niet per SMS ontvangen, maar wel per email, en die hebben ze ook!
Reageer
Mrkoekie @R4gnax3 maart 2026 09:36
Ik ben oud klant, heb geen mailtje ontvangen van odido, email adres is al sinds jaar en dag hetzelfde dus ze hadden me moeten kunnen vinden. Zeker gezien het feit ik volgens alle 'check' tools mijn email adres gelinkt wordt aan de odido hack.

Ik heb Odido een mail en een brief gestuurd om inzage te krijgen in mijn gegevens en welke dus gelekt zijn. Vervolgens naar de AP gegaan. Tot mijn verbazing staat daar dat er geen datalek meldingen meer hoeven ingeschoten te worden omdat ze al op de hoogte zijn :S.

Wat mij vooral tegen de borst stuit is het roze kader op deze pagina: https://autoriteitpersoonsgegevens.nl/contact/informatie-en-meldpunt-privacy-imp
Het is bijvoorbeeld belangrijk dat Odido klanten zo snel en volledig mogelijk informeert.
Ik vind dit echt een pijnlijke opmerking omdat het ondertussen al wel duidelijk is dat het echt niet alleen maar om huidige klanten gaat, maar net zo goed over oud klanten.
Anyway... toch een datalek gemeld inclusief de communicatie die ik al naar odido heb gestuurd
Reageer
sapphire @WillySis2 maart 2026 19:56
Mijn partner is oud klant van Ben, heeft al 20 jaar het zelfde e-mail adres, is al meer dan 2 jaar weg daar, heeft geen mail gehad maar volgens haveibeenpowned staat i.i.g. haar e-mail adres wel in de data van de hack.

Heel erg slordig van Odido!
Reageer
maikoool @WillySis2 maart 2026 20:26
Ik zit ook in het lek via Ben, ben daar al 10 jaar klant denk ik ondertussen (en nog steeds). Geen enkele melding van Ben of Odido gekregen. Wel van Mozilla Monitor, en ik kon mijzelf op HIBP ook terugvinden in het Odido lek.
Reageer
filthymushroom @The Zep Man3 maart 2026 06:12
Dit is correct, ik ben momenteel klant en heb geen enkele communicatie ontvangen. Behalve mijn factuur, die komt gewoon per mail aan.

Ondertussen wel een mail van Proton dat mijn mailadres is gebreached. Dus ik zit wel degelijk bij de gelukkigen.

Ik ben dan ook voornemens om een inzageverzoek te doen bij Odido ene en klacht bij AP in te dienen aangezien ze overduidelijk hun zaken ook wat betreft communicatie niet op orde hebben.
Reageer
valvy @WillySis2 maart 2026 19:33
Ik ben al minstens zes jaar bij ze weg. Geen melding gekregen van ze. Ik heb de hack uiteindelijk vernomen via haveIBeenpowned.

Hoe kan het dat haveIBeenpowned wel me op de hoogte kan stellen, maar Odido niet? De avg heeft toch ook een plicht tot informeren bij een hack?

Odido is gewoon illegaal bezig nu! Wat een bende
Reageer
WillySis
@valvy2 maart 2026 19:39
Ik ben al acht jaar weg, en ook bij de hack betrokken. Ik heb ook netjes een email van Odido gehad.

Wat de bewaartermijn betreft was Odido inderdaad illegaal bezig (en dat zal nog wel een staartje krijgen). Bij het melden aan (mogelijk) betrokkenen lijken ze vooral slordig te zijn. Of dat onder illegaal of verwijtbaar valt weet ik niet, maar ze lijken inderdaad niet volledig aan de wet te voldoen.
Reageer
kr4t0s @WillySis2 maart 2026 21:23
Ik ben ook al heel lang weg bij Odido (toen nog t-mobile) al zeker 8-10 jaar. Ik kreeg wel mailtje van Odido en ook van Mozilla privacy monitor toen boel gelekt was.
edit: in mijn mail gegraven sinds Aug 28, 2017 geen klant meer.

[Reactie gewijzigd door kr4t0s op 2 maart 2026 21:27]

Reageer
Netburst @WillySis2 maart 2026 19:29
Ik hoor van een vriend dat ik in de lek zit en heb niets gehoord. Ik hoop niet dat ze naar mijn @tmobilethuis.nl-adres hebben gestuurd.
Reageer
pagani @WillySis2 maart 2026 19:32
Het mailadres waarmee ik een positieve match vind in de hack is mijn dagelijkse mailadres. Niets van een oud mailadres, en ik heb de T-Mobile/Odido adressen nooit gebruikt.
Reageer
smiba @WillySis2 maart 2026 19:37
Ik sta in het datalek en heb geen enkele mail van odido ontvangen..

Ja het email adres werkt nog
Reageer
NBK @WillySis2 maart 2026 22:28
Ik ben nog klant bij Odido en ze hebben van mij een recent mailadres. Dit kon ik ook verifiëren via have I been pwned want sinds de hackers data hebben vrijgegeven duikt mijn mailadres daar plotseling wel op en voorheen niet. Ze hebben ook mijn mobiele nummer dus ze zouden ook kunnen bellen of een sms kunnen sturen. Ik heb nog geen woord van ze vernomen!

[Reactie gewijzigd door NBK op 2 maart 2026 22:28]

Reageer
Snake_NL @pagani2 maart 2026 19:04
Precies dezelfde situatie hier. Jaren weg ( internet ) en 6maanden weg ( telefonie ).

Geen enkele mail van odido, maar ik zit wel in hibp. Ik heb 0 vertrouwen dat Odido eerlijk gaat zijn
Reageer
sypie @pagani2 maart 2026 19:55
Dan is dit een mooie test: de data opvragen en de overhandigde data door Odido vergelijken met jouw data die in de gestolen dataset zit.
Reageer
FreezeXJ @KnoxNL2 maart 2026 18:18
Wat ze daar echt weten of willen weten is mij onbekend, maar het zou zomaar kunnen dat ze er gewoon naast zitten. Laten we het zo zeggen, alleen als je bevestiging krijgt dat je gelekt bent heb je zekerheid, anders blijft het gokken... Heeft Odido alles wel scherp? Heeft Shinyhunters inderdaad alles gepost, of houden ze daar nog dingen achter? Ik vertrouw beide partijen net zo ver als ik ze kan schoppen, dus voorlopig neem ik maar aan dat er vrij veel gelekt is.
Reageer
xoniq @FreezeXJ2 maart 2026 18:38
Heeft Shinyhunters inderdaad alles gepost,
Nee ze hebben dingen achterwege gelaten. Onder andere wat Odido intern heeft genoteerd bij jou profiel. Of je bijvoorbeeld dronken was, of je agressief bent, of dreigend bent etc. Ook zulke interne notities (een profiel over jou als persoon) is ook gelekt maar achtergehouden.
Reageer
The Zep Man
@xoniq2 maart 2026 19:26
Nee ze hebben dingen achterwege gelaten. Onder andere wat Odido intern heeft genoteerd bij jou profiel. Of je bijvoorbeeld dronken was, of je agressief bent, of dreigend bent etc.
Een geanonimiseerde screenshot op Dumpert/GeenStijl met verzamelingen van opmerkingen van servicedeskmedewerkers toont aan dat wat je schrijft niet klopt.

[Reactie gewijzigd door The Zep Man op 2 maart 2026 19:26]

Reageer
xoniq @The Zep Man2 maart 2026 19:29
Is een artikel op Tweakers wel betrouwbaar genoeg?

nieuws: Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wi...
Die aantekeningen in het gehackte klantcontactsysteem lopen uiteen van instructies om extra op te letten omdat de ex van een klant zich voordeed als die klant, tot notities als 'gaat door een moeilijke periode' en 'Klant lijkt onder invloed te zijn tijdens het bellen. Is door winkel (...) uit de zaak verwijderd en heeft gedreigd daar de boel kort en klein te slaan'. Verder is in de gegevens te zien welke klanten een bewindvoerder hebben en dus onder curatele staan, meldt de NOS.
Dus wat heeft dit met Dumpert of welke andere paupersite te maken?

[Reactie gewijzigd door xoniq op 2 maart 2026 19:29]

Reageer
Patriot @xoniq2 maart 2026 19:58
Daar staat toch niet dat dit is achtergehouden door ShinyHunters? Uit het feit dat die gegevens door derden (geanonimiseerd) gepubliceerd zijn blijkt juist dat het niet is achtergehouden.
Reageer
xoniq @Patriot2 maart 2026 20:08
Odido-hackers publiceren opnieuw deel klantgegevens - https://nos.nl/l/2604172
Voordat de hackers gegevens begonnen te publiceren, stuurden ze een een deel van de gestolen data naar de NOS als bewijs. In de inmiddels gepubliceerde bestanden hebben ze e-mailadressen en telefoonnummers grotendeels achtergehouden. Maar in de gegevens staan ook aantekeningen over het contact van Odido-abonnees met de klantenservice.
Ik heb het deels verkeerd gelezen, ze hebben telefoonnummers en emailadressen achtergehouden. Ik ga er dan vanuit dat die opmerkingen van Odido over de klant nog wel in de dump staan.

Maakt me nog nieuwsgieriger over wat ze over me intern lullen.
Reageer
Patriot @xoniq2 maart 2026 20:10
Dat is trouwens oud nieuws van vrijdag. Gisteren is alles gepubliceerd: https://nos.nl/artikel/2604461-odido-hackers-publiceren-resterende-klantdata-ook-miljoenen-id-nummers
Reageer
xoniq @Patriot2 maart 2026 20:12
In datzelfde artikel:
Data achtergehouden

De hackers zeggen niet alle data van Odido vrij te geven. "Die zijn niet relevant", claimen de criminelen, die tegelijkertijd aangeven de bewuste data te willen inzetten "voor eigen gebruik".
Reageer
Patriot @xoniq2 maart 2026 20:16
Klopt, ging dan ook vooral om de opmerking die je plaatste over wát er volgens jou werd achtergehouden. Het is geen 'gotcha'-kwestie, je zat er niet helemaal naast maar dat specifieke punt verdiende wel correctie omdat juist die data al 'in het wild' gesignaleerd was.
Reageer
xoniq @Patriot2 maart 2026 20:30
Ik weet ook wel waar mijn verwarring weg komt, namelijk uit specifiek die door jou aangehaalde NOS artikel afgelopen week. Omdat het eerst ging over "Die bevatten vaak gevoelige informatie, bijvoorbeeld over misdragingen of fraude." en de alinea direct erna: "De hackers zeggen niet alle data van Odido vrij te geven. "Die zijn niet relevant", claimen de criminelen, die tegelijkertijd aangeven de bewuste data te willen inzetten "voor eigen gebruik"."

Dus fair enough. Laten we het daarbij laten. Je hebt gelijk verder.

[Reactie gewijzigd door xoniq op 2 maart 2026 20:32]

Reageer
CodeCaster @KnoxNL2 maart 2026 18:53
Och ja, het goede oude "verzoek inzage gegevens" conform artikel 12 en artikel 15, eerste lid van de Algemene verordening gegevensbescherming (AVG).

Dan moet je:
  • Een contactpunt vinden (succes met een e-mailadres vinden, of serieus genomen worden in een chat waar je zo'n verzoek kunt achterlaten).
  • Zorgen dat je verzoek gehonoreerd en niet doodgezwegen wordt.
  • Jezelf ervan vergewissen dat je niet voorgelogen wordt ("Wij hebben geen gegevens van u bewaard" - je hebt me vandaag nog een nieuwsbrief, LinkedIn-bericht of spam-mail verstuurd).
  • Erop vertrouwen dat je, als je al antwoord krijgt, een volledig antwoord krijgt.
En met "volledig" bedoel ik niet alleen gegevens in systemen die toevallig één hop verder zijn dan het online systeem, maar ook externe partijen zoals boekhouders en advertentie,- SEO/SEA- en nieuwsbriefsystemen.

[Reactie gewijzigd door CodeCaster op 2 maart 2026 19:25]

Reageer
Psycho_Mantis @CodeCaster2 maart 2026 19:17
Ik heb dit eens geprobeerd bij Ziggo toen ze dit grapje uithaalde, omdat ik wilde weten hoe ze de data hadden gematched.
Nooit antwoord opgekregen. Van alles geprobeerd, zelfs met het sturen van een brief kreeg ik enkel antwoord dat het niet de juiste weg was. Een klacht bij AP werd afgewezen omdat ze het te druk hadden.

Gelijk hebben en krijgen zijn 2 verschillende dingen.

Maar ik zou die data van Odido maar niet downloaden. Ga er maar vanuit dat de Politie dat verkeer monitort.
Reageer
tfro71 @Psycho_Mantis2 maart 2026 19:53
Ervan uitgaande dat je TOR gebruikt :Welk verkeer gaan ze dan monitoren precies?
Reageer
Jelle1611 @tfro712 maart 2026 20:10
Wel met VPN natuurlijk :)
Reageer
Hemingr @Jelle16113 maart 2026 06:10
TOR over VPN is afgeraden als je privacy belangrijk vind.

TOR zelf is genoeg. En qua monitoring, ja, theoretisch is het mogelijk een correlatie te maken tussen jouw entry naar een TOR node en het exit verkeer uit de laatste TOR mode. Maar dat verreist veel compute en zolang jij geen Taghi heet zou ik mij dat nul punt nul zorgen over maken.
Reageer
r03n_d @KnoxNL2 maart 2026 20:17
Dat heb ik gedaan, netjes via het formulier wat je daarvoor moet gebruiken van hun, heb ik een AVG verzoek gedaan.

Om vervolgens 5 dagen later onderstaande reactie te krijgen:
Bedankt voor je bericht.

Welke gegevens zijn betrokken?
Natuurlijk wil je weten of er persoonsgegevens van jou betrokken waren. Als jouw gegevens mogelijk betrokken waren, kreeg je al een persoonlijke e-mail of sms van ons. In dat bericht staat wat voor jou geldt. Op https://www.odido.nl/veiligheid vind je ook welke categorieën gegevens in het algemeen mogelijk geraakt zijn. Je persoonlijke bericht is het meest specifiek voor jouw situatie.

Wil je een volledig overzicht? Dan kan je gebruikmaken van je AVG-recht op inzage en een inzageverzoek indienen. Dit verzoek gaat niet alleen over gegevens die mogelijk bij het incident betrokken zijn, maar over alle persoonsgegevens die we van je bewaren. 

We vragen je om hier ons formulier voor te gebruiken. Bij het invullen stellen we een paar vragen om je identiteit te checken. Je vindt het formulier op https://www.odido.nl/service/brochures-en-formulieren onder ‘Aanvraagformulieren privacy’.

Zodra we het ingevulde formulier van je hebben ontvangen, nemen we het in behandeling en sturen we je zo snel mogelijk een reactie.

AVG-Inzageverzoek
We begrijpen dat je graag wil weten welke persoonsgegevens wij precies van je bewaren.

Veel gegevens vind je in Mijn Odido. Wil je een volledig overzicht ontvangen? Dan kan je een inzageverzoek indienen. We vragen je om hier ons formulier voor te gebruiken. Bij het invullen stellen we een paar vragen om je identiteit te checken.

Je vindt het formulier op https://www.odido.nl/service/brochures-en-formulieren onder ‘Aanvraagformulieren privacy’. Zodra we het ingevulde formulier van je hebben ontvangen, nemen we het in behandeling en sturen we je zo snel mogelijk een reactie.

Alle beschikbare informatie over het incident kan je vinden op de webpagina https://www.odido.nl/veiligheid.

We zijn er voor je,
Emma van Odido
Reageer
R4gnax
@r03n_d2 maart 2026 20:49
Begrijp ik het nu goed dat hun antwoord op het doen van een AVG verzoek middels XYZ, is dat als je je gegevens in wilt zien, je daarvoor een AVG verzoek middels XYZ kunt doen?

What the actual fuck ?!
Reageer
r03n_d @R4gnax3 maart 2026 10:20
Yes dat begrijp je goed. Belachelijk.
Reageer
R4gnax
@r03n_d3 maart 2026 19:35
Wow. Echt- net als je dacht dat ze niet dieper konden zinken dan ze al gezonken waren, vinden ze nog een manier. Dat is op een curieus morbide soort manier toch wel bewonderenswaardig. In de zin van: hoe ronduit incapabel kun je je bedrijfsvoering laten zijn, zonder dat het je de kop kost.
Reageer
Gwaihir @KnoxNL2 maart 2026 19:02
Is die manier er dan? Dat is voor mij de hamvraag.

Odido is de enige partij die deze gegevens mag (en zelfs moet) downloaden zonder strafbaar te zijn, daar ze verplicht is de klanten te laten weten wat er gelekt is en die data toch al integraal bezat.

Leuk hoor, dat autoriteiten zoals het OM commentaar leveren op wat downloaden al dan niet betekent, maar wanneer komen de autoriteiten met publieke instructies aan Odido, kracht bij gezet met een stevige dwangsom? Want het is duidelijk dat Odido niet op eigen initiatief aan haar verplichtingen aan het voldoen is.
Reageer
Sando @KnoxNL2 maart 2026 19:44
Is er een juridisch verschil tussen illegaal (downloaden van een serie/aflevering) en "hartstikke illegaal" zo als het downloaden van de gelekte data in dit artikel wordt genoemd?

Ik vertrouw die hele Odido voor geen meter meer na alle berichtgeving. Die illegaal (of hartstikke illegaal) veel te lang bewaarde gegevens en profilering, volgens mij zou je die nooit hebben gekregen.

Je zou eigenlijk beide willen doen om te vergelijken.
Reageer
YGDRASSIL @KnoxNL2 maart 2026 20:18
Ze wisten niet wat er allemaal gelekt was. Toen er data online werd gezet was het 'oh dit is ook gelekt'. Dus aan die bron heb je niet veel. Ze weten het niet precies en zijn ook niet gebaat bij volledige openheid.
Reageer
teek2 @KnoxNL2 maart 2026 20:20
Als ik Odido was zou ik proberen samen te werken met https://haveibeenpwned.com/ om mensen een beetje tegemoet te komen.
Reageer
cnoobie @KnoxNL2 maart 2026 21:04
Thanks, heb meteen aanvraag ingediend.
Reageer
Raymond Deen @KnoxNL2 maart 2026 22:30
Laat Odido anders zelf die gestolen dataset downloaden en elke gebruiker die er in voor komt zijn of haar eigen gegevens uit die dataset toe sturen per e-mail.

Op die manier krijgt iedereen volledige inzage (tenzij je niet meer bij het betreffende e-mail adres kunt) in z’n eigen gelekte gegevens terwijl er geen onrechtmatige download plaats vindt; het zijn tenslotte hun eigen data.
Reageer
Guru Evi @KnoxNL3 maart 2026 08:00
Blijkbaar kunnen ze dit niet, de hackers weten beter welke informatie het bedrijf had.

Daarnaast is het wel degelijk legaal om deze informatie te downloaden voor onderzoek, anders zouden sites zoals HaveIBeenPwnd niet bestaan.

Wat je mag doen: publieke informatie samplen of downloaden voor persoonlijk of professioneel onderzoek.

Wat je niet mag doen: verder verspreiden of doorverkopen, zelf van een gehackte server halen of de criminelen betalen voor de informatie. Zelfs “vrienden” opzoeken begint al ethisch en legaal problematisch te worden.

Je draag echter wel de verantwoordelijkheid voor de data die je downloadt alsook alle andere problemen toegang op zulke systemen en contact met criminelen met zich meebrengen. Dus als je niet weet wat je doet, heb je een grote kans om ergens anders tegen een lamp te lopen.

[Reactie gewijzigd door Guru Evi op 3 maart 2026 08:01]

Reageer
Boxman 2 maart 2026 19:02
Beetje een open deur intrappen dit. In dezelfde context is 90% van alle bezoekers hier strafbaar vanwege de films en/of mp3's die ze nog op hun PC hebben staan die niet uit legale bron verkregen zijn.

De relevantie zit hem in het handhaafbeleid. Is er ooit al een particulier middels deze wet veroordeeld? Wat is het werkelijke doel van de wet? Zowel bij het downloaden van films als bij deze dataset, is de insteek van de wet om misbruik op grote schaal te voorkomen en strafbaar te zetten. Dus het verspreiden van volledige bibliotheken aan films of het op grote schaal misbruiken van gestolen gegevens. De kans dat een Jan Modaal puur voor het bezit van de dataset gaat worden vervolgd is realistisch gezien 0.0%.
Reageer
Cid Highwind @Boxman3 maart 2026 08:18
Dan is eerst de vraag of die bron ten tijde van het verkrijgen evident of überhaupt illegaal was. Lastige kwestie, zeker gezien het feit dat het downloaden, ongeacht de bron, lange tijd juist niet illegaal was.

Ik denk dat de belangrijkste takeaway hier (in de discussie) helaas ondergesneeuwd raakt door het inzoomen op het eventueel illegaal zijn van het downloaden van de gegevens:
Als je dit overweegt te doen, wees je er van bewust dat je niet alleen jouw gegevens downloadt, maar ook die van miljoenen anderen. Als jij je oprecht (en terecht) zorgen maakt over je eigen privacy, heb dan ook het respect die van een ander te waarborgen. Want het zijn van slachtoffer ontslaat je niet van die plicht.
Reageer
ymmv 2 maart 2026 18:02
Zijn ALLE Odido-gebruikers getroffen of een (enorm grote) subsectie?

Ik heb namelijk nog steeds geen mail van Odido gekregen. Ben ik dan aan de dans ontsprongen?
Reageer
krakendmodem @ymmv2 maart 2026 18:08
Er zijn meer mensen die geen mail hebben gehad. Kans is alsnog dat je gewoon ertussen staat. Dat kan je checken via mozilla monitor of have I been pwnd.

Ik heb er wel eentje gehad als oud-klant. Maar volgens de mozilla monitor in mijn geval alleen e-mail, telefoonnummer en bankrekeningnummer. Daar kom ik nog wel overheen. Dat is aan te passen.
Reageer
ymmv @krakendmodem2 maart 2026 18:49
Ik had een paar dagen geleden al https://haveibeenpwned.com/ geprobeerd maar daar stond niks over Odido. Net nog 'ns gedaan en nu staat er voor mijn emailadres wel een waarschuwing.

Maar ik weet nu nog steeds niet WELKE gegevens precies gelekt zijn.
Reageer
SunnieNL @ymmv2 maart 2026 19:37
Ga er maar van uit dat als je uit die tool naar boven komt, dat alle gegevens die Odido ook maar enigszins van je kan hebben, op straat liggen (excl. digitale kopieen van rij- of id-bewijs). Dus id-nummer, bsn, geldigheidsdatum van id, bankrekening, betalingsproblemen, telefoonnummer, adres, geboortedatum, etc.

(dus te vreemd dat als je Odido belt, ze nog om deze gegevens vragen om te verifieren of jij wel jij bent...)
Reageer
tfro71 @SunnieNL2 maart 2026 19:55
Het bsn is niet gelekt,wel het btw nummer dat alleen zzp-ers met eem zakelijk abo raakt
Reageer
codeneos @tfro712 maart 2026 20:37
Maar BTW nummers van eenmanszaken zijn tegenwoordig niet meer direct afgeleid van het BSN. Als je daar op doelde.
Reageer
tfro71 @codeneos2 maart 2026 20:48
Nee, ik kom er ook in voor met mijn nieuwe BTW nummer maar als je (veel) langer geleden je contract hebt afgesloten sta je er nog met het oude BTW nummer in en die in met BSN. Grofweg: contract van vóór 2020: BSN gelekt, erna je eerste contract afgesloten: BSN niet gelekt
Reageer
SPee @SunnieNL3 maart 2026 12:30
Ik ga ervan uit dat alle data die ik heb gestuurd erin staat. Maar, is dat alles?

Want mijn SIM kaart heeft een pincode, de Odido app die ik gebruik heeft een pincode, om in te loggen op mijn account gebruik ik een wachtwoord. Zijn die ook gelekt?
Reageer
SunnieNL @SPee3 maart 2026 22:58
Op verschillende sites is langsgekomen dat er een veld is met mogelijk wachtwoord. De politie meldt dat ook, dus het is raadzaam het wachtwoord aan te passen en ook op andere sites aan te pakken als je hem op andere plekken ook gebruikt.

Daarnaast is het goed op elke website die MFA aanbiedt, dat ook in te schakelen. Ook als het via sms of email gaat. Beter iets van mfa dan helemaal niets.

Simkaart pincode hoor je eigenlijk te veranderen als je hem ontvangt. Zou niet door odido opgeslagen moeten zijn (pukcode kennen ze wel bij support, dus ik ga er vanuit dat die mogelijk ook gelekt is).

De app pincode wordt zover ik weet, lokaal op je telefoon opgeslagen en kan alleen op jouw telefoon gebruikt worden (maar waarom gebruik je daar niet biometrie?)
Reageer
HoppyF @ymmv2 maart 2026 19:27
Precies dat laatste is het probleem wat mensen ervaren.
Je weet DAT er gelekt is maar niet WAT.
Als er duidelijkheid zou komen dat je dit kunt checken is het voor de meeste mensen voldoende.
Voor de rest is het vooral veel juridisch gezwam waar niemand iets mee kan.
De wetgever loopt weer achter de feiten aan en de burger/klant staat in de kou terwijl het andersom
zou moeten zijn dat de overheid de burger beschermt.
Reageer
Luoar @ymmv2 maart 2026 23:31
Er zijn andere services (ik heb toevallig NordPass, maar er zijn ongetwijfeld veel andere services die dit, of iets gelijks aanbieden), waar een Data Breach Scanner in zit.

In mijn geval geeft het rapport de gelekte gegevens weer (in mijn geval kennelijk: E-mail, naam, bankrekeningnummer, land, stad, adres, postcode). Als in, mijn naam, mijn e-mailadres, etc. worden weergegeven. Dit gaat ook om data die Nord niet van mij heeft (had...).
Ook staat erbij welke andere data er bij deze "lek/breach" buitgemaakt zijn, zoals een Wachtwoord veld, Telefoonnummer, Staat en Alternatief e-mailadres. Kennelijk waren deze gegevens in mijn geval niet bij Odido bekend.
Reageer
darkfader @krakendmodem2 maart 2026 18:31
Ik beb ook een e-mail ontvangen maar zie mezelf nog niet gepwned staan. Het zou inderdaad nice zijn als het beperkt bleef voor oud-klanten.
Reageer
BadpunK @darkfader2 maart 2026 19:14
Het werd gefaseerd gelekt door de hackersgroep. Ik zat in de laatste lichting met mijn gegevens. Als je nu zult controleren zul je wel gevonden worden.
Reageer
WhoDoYaThinkIAm @darkfader2 maart 2026 22:06
Bij mij precies andersom: wel een melding van HaveIBeenPwned, maar geen bericht van Oliedom.
Reageer
Tomramaker @krakendmodem2 maart 2026 19:18
Ik had dus geen mail van odido gekregen. Maar zodra de eerste batch online kwam kreeg ik melding vanuit mozilla en hibp dat ik erbij stond....
Reageer
KnoxNL @ymmv2 maart 2026 18:09
Reken er maar niet op.

Ik heb de 1e mail van Odido ontvangen, maar de 2e (nadat bekend werd dat er MEER data gestolen was) nooit gehad.

Zelfs mailen kunnen ze niet fatsoenlijk daar.
Reageer
SebasFM @KnoxNL2 maart 2026 18:51
Er is een tweede mail uitgestuurd?! Die heb ik dan ook niet ontvangen…
Reageer
tfro71 @KnoxNL2 maart 2026 19:57
De eerste mail was behoorlijk volledig met wat er gelekt is. Vooral het opmerkingenveld is nieuw maar daar staan zoveel verschillende dingen in dat dat niet in een lijstje met gegevens te vatten is.
Reageer
SPee @KnoxNL3 maart 2026 12:34
Iedereen die het gevreesde mailtje van Odido of Ben kreeg, is natuurlijk benieuwd of zijn of haar gegevens erin staan, en wellicht nog belangrijker:
Mail? Welke Mail?

Zowel ik als een collega (die vlak voor de hack zich aangemeld heeft) hebben geen mail ontvangen. Zelfs mijn spam folder is leeg. Geen eerste of tweede mail.
Reageer
Zerora @ymmv2 maart 2026 18:07
Ik heb ook geen mail gekregen. Toch zit ik wel in de lek. Met een omvang van 6,5 miljoen records en 600k records aan bedrijven klinkt het wel aannemelijk alsof dit hun gehele klantenbestand is.
Reageer
hottestbrain @Zerora2 maart 2026 19:15
Plus oud-klanten. Mijn data had al lang en breed verdwenen moeten zijn, maar ook ik ben helaas pwned.
Reageer
- peter - @ymmv2 maart 2026 18:33
Ik heb alleen odido zakelijk gehad, en geen mail gehad. Maar kreeg nu via haveibeenpwned dat ik er wel gewoon tussenzat...
Reageer
codeneos @- peter -2 maart 2026 20:39
Zowel zakelijk als prive contact gegevens zijn gelekt
Reageer
Martin.Air @ymmv2 maart 2026 18:05
Daarmee zitten slachtoffers, zoals ze in het Engels zeggen, 'tussen een rots en een harde plek'; er is simpelweg geen legale manier om erachter te komen welke van je gegevens er bij het datalek betrokken zijn. Het onbevredigende legale antwoord is dus: wees waakzaam voor eventuele phishing en andere fraude; meer kun je eigenlijk niet doen.
Reageer
watercoolertje @Martin.Air3 maart 2026 06:40
Wat zegt dat precies over de vraag OF zijn gegevens (en welke dat zijn vraagt ie niet) gestolen zijn?
Reageer
Martin.Air @watercoolertje3 maart 2026 11:23
Dat er geen manier is om dit echt te bevestigen. Dat is juist het probleem.

Mijn werkgever zit bijvoorbeeld bij Odido. Ik weet dat daar dus gegevens van mij liggen, maar welke weet ik niet. Bij politie.nl/checkjehack/HIBP/etc. kun je checken op mail adres, dat hebben ze nu juist niet van mij. Maar wat wel?

Dit is iets wat letterlijk niet te beantwoorden lijkt te zijn.
Reageer
ASS-Ware @ymmv2 maart 2026 18:08
Zijn ALLE Odido-gebruikers getroffen of een (enorm grote) subsectie?

Ik heb namelijk nog steeds geen mail van Odido gekregen. Ben ik dan aan de dans ontsprongen?
Check https://haveibeenpwned.com/
Reageer
jeroenathome @ymmv2 maart 2026 18:19
Ik heb mail ontvangen van Have i been powned. Dus ik zit er helaas bij. Jammer dat het ook meteen goed is gebeurd met alle privégegevens. Tot aan deze hack was alleen mijn spamadres bij last.fm uitgelekt. Alle overige persoonsgegevens niet zover het mij bekend is.
Dan praten we over op het internet actief zijn vanaf 1997 of 1998.

Bij elk bericht van uitgelekte persoonsgegevens was ik verbaasd dat ik er nog steeds niet bij zat.
Reageer
Senaxx @ymmv2 maart 2026 20:45
Ik sta er ook tussen, met een email en id bewijs, maar ik ben al 6 jaar geen (destijds) T- Mobile klant meer, en heb ook geen mail gekregen. Maar ik sta wel tussen de gelekte gegevens met al mijn informatie. Het is toch van de zotte dat ik via 3e partijen moet vernemen dat mijn info is gelekt.

Odido heeft de PLICHT om mij te informeren dat mijn data is gelekt, en dat is gewoon niet gebeurd.

[Reactie gewijzigd door Senaxx op 2 maart 2026 20:48]

Reageer
Swelson 2 maart 2026 18:06
Lijkt me iets voor Odido om duidelijkheid over te geven. Zij weten specifiek per klant welke data ze hebben.
Reageer
quazar @Swelson2 maart 2026 19:00
Ik wil graag weten of ik mij paspoort of rijbewijs heb gebruikt voor identificatie. Enige manier om daar achter te komen zal de file downloaden zijn of is er nog een andere optie?
Reageer
carlpls @quazar2 maart 2026 21:44
Voor deze vraag specifiek kan je bellen met de klantenservice. Zij kunnen je vertellen wat voor documenten er destijds gebruikt zijn om je te identificeren.
Reageer
PhilipsFan @carlpls2 maart 2026 23:10
Haha, bellen met de klantenservice. En hoe gaan die controleren dat ik ook echt ben wie ik zeg dat ik ben? Als ik nog steeds klant ben, dan kunnen ze me een sms sturen met een code. Maar als ik geen klant meer ben, hoe gaan ze dat dan na? Mijn geboortedatum vragen? Haha, die zit in het bestand en ik weet dus de geboortedatum van elke klant.

Toont maar weer eens aan hoe slecht bedrijven omgaan met informatiebeveiliging.
Reageer
carlpls @PhilipsFan4 maart 2026 18:04
Toen ik belde vroegen ze naar het bedrag wat voor het laatst afgeschreven was van mijn rekening. Die gaat voor veel oud-klanten nog wel op denk ik. Als dat moment buiten de standaard tijdspanne valt waarbinnen je kan zoeken bij je bank heb je wel een uitdaging. Ik meen een comment gelezen te hebben hier van iemand die daar last van had, en inderdaad vastzat op die manier.
Reageer
tfro71 @quazar2 maart 2026 20:01
Vooralsnog is die file de enige optie. Tevens het beste argument bij een eventuele zaak: ik heb recht op inzage maar via de reguliere kanalen (ziggo, politie, ministerie) kreeg ik geen antwoord
Reageer
Bomb-el @Swelson2 maart 2026 18:13
Nou inderdaad, je zou denken dat ze dat haast wettelijk verplicht zijn, en anders op zijn minst moreel verplicht. Maar ik ga er vanuit dat het bij het ene enkele mailtje blijft. Je schoffeert daarmee toch eigenlijk je hele klantenbestand
Reageer
HitBit @Swelson2 maart 2026 19:19
Ik zat me net te bedenken als je nu nog wel een lopend abonnement hebt zoals ik, kan je je contract inzien. Zijn dat niet de gegevens die gelekt zijn nu. En daarvoor in een winkel een abonnement genomen maar die zijn de laatste keer overschreven met het nieuwe. Of is dit te simpel gedacht?
In mijn geval zie ik dat ik telefonisch mijn rijbewijs heb gebruikt bij de verlenging.
Reageer
Hermanleen 2 maart 2026 18:15
Maar Odido zelf mag die gegevens toch wel downloaden, het zijn hun eigen gegevens.

Zo kunnen ze in ieder geval de getroffen klanten laten weten wat er precies gestolen is.
Reageer
FreezeXJ @Hermanleen2 maart 2026 18:20
Een heleboel van die gegevens hadden ze al niet mogen hebben, want van ex-klanten die al 2+ jaar geen contact meer hadden... Ben benieuwd of dat nog juridische gevolgen gaat hebben.
Reageer
tfro71 @FreezeXJ2 maart 2026 19:59
Onzin, belastingwetgeving vereist al 7 jaar bewaartermijn. Er valt wel beroep te doen op avg regels rondom wie waar bij mocht
Reageer
Ypho @tfro713 maart 2026 09:20
Die bewaartermijn gaat over financiële gegevens (facturen + factuurgegevens etc), en niet over documentnummers, telefoonnummers, e-mailadressen etc (tenzij dit op een factuur staat).

Dingen als het "password" veld (controle-veld), (persoonlijke) notities over de klant etc. Deze gegevens zijn helemaal niet nodig voor de belastingdienst en hadden ze gewoon volgens hun eigen beleid kunnen (moeten?) verwijderen.
Reageer
tfro71 @Ypho3 maart 2026 10:14
De bewaartermijn gaat óók voor identificatie ofwel voldoende informatie om zeker te weten wie de klant is/was. Documentnummers (of de kopie ID) vallen dan weer onder de WWFT en zijn in een bepaalde vorm dan ook verplicht te bewaren. In een andere discussie was de conclusie dat eigenlijk alleen het emailadres en mogelijk de notities onder die 2 jaar zou vallen. Probleem is dat het notitieveld weer veel meer bevat dan alleen notities, ook factuurmomenten, etc.

Uiteraard heb je gelijk dat dit gewoon slecht is aangepakt, dataminimalisatie uit de AVG is niet toegepast want dan had men nagedacht over die mail en opmerkingenveld. Toegang beperken tot personen die dit nodig hebben is niet toegepast anders had niet heel de klantenservice bij die data gekund, etc.

MIjn belangrijkste punt: er is gewoon een sloot wetgeving waar bewaartermijnen van 5,7 of 10 (onroerend goed) uit kunnen komen. En dat is niet alleen bij Odido, maar bij elk bedrijf waar je ooit iets hebt gekocht of een dienst van hebt afgenomen.
En bijna géén enkel bedrijven heeft die data 'achter het hek' staan. De fietsenmaker weet ook mijn adres, iban, telefoonummer en welke fiets is 6 jaar geleden bij hem heb gekocht.
Reageer
sdsnatcher73 @FreezeXJ2 maart 2026 18:23
Ja dat is wel “knullig” op zijn zachts gezegd.
Reageer
tfro71 @sdsnatcher733 maart 2026 10:17
Ik zei knullig omdat in diezelfde voorwaarden wel degelijke wettelijke vereisten worden aangehaald waaruit je ZOU kunnen opmaken dat er ook iets anders is dan die 2 jaar. En ook omdat echt heel veel bedrijven dit zo doen. Maar de gemiddelde Nederlander is (terecht) niet bedreven is in het lezen van teksten die juridisch gezien niet fout zijn maar toch niet vertellen wat wel de bedoeling is.
Reageer
doeternietoe @Hermanleen2 maart 2026 19:29
Inderdaad. Van T-mobile staat buiten kijf dat ze legaal de gegevens kunnen downloaden en die zouden gewoon in staat moeten zijn om een pagina op te zetten waar je je e-mailadres in kunt vullen waarna ze je een mailtje sturen met tot in detail welke gegevens er van jou in de data dump zitten.

Maar ik heb weinig hoop dat ze dat gaan opzetten. Op dit moment hebben ze niet eens alle getroffen e-mailadressen nagemaild. Een aantal jaar geleden heb ik een oudere dame in the middle of nowhere geholpen met het aanleggen van internet voor thuis via 4G van T-mobile. Ik heb daarvoor toen een tijdelijk e-mailadres aangemaakt (tmobiletijdelijk@[mijneigendomein].nl), met forward naar mijn persoonlijke e-mail. Sinds afgelopen week ontvang ik ineens spam via dat adres. Het is dus w.m.b. absoluut zeker dat dit e-mailadres deel uit heeft gemaakt van de hack. Toch ben ik via dit e-mailadres niet geïnformeerd door T-mobile. Met andere woorden: ze hebben niet eens iedereen die getroffen was persoonlijk gemaild dat er gelekt is, laat staan dat ze details geven over wat er gelekt is.

Overigens ben ik er niet zo zeker van dat het in alle gevallen strafbaar zou zijn om de dataset te downloaden. Met name m.b.t. dit stukje:
De voorbeeldtool Have I Been Pwned verkeert alleen in hetzelfde grijze gebied. Hoezo zou die tool van maker Troy Hunt dan wél mogen bestaan? Kort door de bocht: dat mag eigenlijk ook niet. Maar Hunt is voor zover bekend dermate betrouwbaar, dat zijn tool – die hij grotendeels in de openbaarheid ontwikkelt – bij wijze van spreken gedoogd wordt. Zeker omdat die website al ruim een decennium bestaat en zeer invloedrijk is, weegt het maatschappelijk belang zwaarder dan de letter van de wet.
Is hier geen sprake van het ontbreken van materiële wederrechtelijkheid? Ik zat vroeger beter in deze materie dan nu, maar op het eerste gezicht lijkt me dat wel het geval namelijk. Ik weet dat er in de rechtspraak terughoudend met deze strafuitsluitingsgrond wordt omgegaan, maar dit lijkt me nu juist zo'n uitzonderlijke situatie waarin het wel zou kunnen. In dit geval beoogt het artikel dat Troy Hunt (binnen de Nederlandse jurisdictie) zou overtreden het beschermen tegen misbruik van persoonlijke gegevens. Hunt dient in casu nu juist dit belang door te handelen in strijd met het wetsartikel.
Reageer
i-chat @doeternietoe2 maart 2026 20:03
het verschil met hunt zijn tool en het zelf downloaden voor eigen gebruik (dat door Engelfried totaal onterecht als illigaal wordt bestempeld). is dat hunt wel kan zeggen dat ie in maatschappelijk belang handelt dat dat dat mogelijk niet blijkt uit de manier waarop een en ander in elkaar steekt.

om juridisch gezien maatschappelijk te kunnen handelen in algemene zin zul je aan bepaalde voorwaarden mmoeten voldoen 'denk aan zaken als: rechtspersoonlijkheid, het voeren van een klachtenregeling, een privacy regeling, en in bepaalde gevallen zelfs het hebben van de nodige vergunningen om data te mogen verwerken. 'the defense of others' als uitsluitingsgrond geld immers alleen op individule basis en niet als 'systematisch goedpratertje'


dat wil niet zeggen dat het dan maar gehandhaafd moet worden... zeker niet, enig gedoogbeleid in deze specifieke casus is absolute noodzaak.
Reageer
sdsnatcher73 @Hermanleen2 maart 2026 18:21
Dit lijkt me serieus een goed idee, met mijn niet juridische achtergrond durf ik natuurlijk niet te zeggen of het 100% in orde is…
Reageer
WargamingPlayer 2 maart 2026 19:59
Ik heb de “legale” wijze geprobeerd om te zien wat er gestolen is aan data. Bij ihavebeenpowed was er hit op Odido. Ik heb e-mail van Odido dat er data gestolen is. Echter bij de Politie komt er geen data terug terwijl mijn e-mail bij de andere wel bekend is. De chat van Odido breekt mijn verbinding af bij vragen over wat er gelekt is.

Ik heb dus alle wegen bewandeld, dus ben ik nu van mening dat ik de dataset mag downloaden omdat zowel Odido als overheid mij weigeren exacte inzicht te geven.
Reageer
repmeer @WargamingPlayer2 maart 2026 20:22
Wellicht is het bij de politie niet bijgewerkt.

Het geeft ja daarom niet het recht om de gegevens te downloaden.
Reageer
mawashigeri @repmeer2 maart 2026 20:50
De politie geeft helaas ook alleen maar vage informatie, niets concreets.
Reageer
repmeer @mawashigeri2 maart 2026 22:00
Dat geeft je nog geen recht om het zelf te downloaden
Reageer
mawashigeri @repmeer3 maart 2026 01:00
Dat zeg ik dan ook niet. Wel valt het op dat, zoals nogal vaak in Nederland, niet alleen bedrijven verzaken, maar de overheid ook. Vervolgens zijn er precies nul consequenties voor die bedrijven en de overheid.

Als jij of ik dan voor onszelf proberen op te komen hoor ik gezeur over mag niet en illegaal.
Reageer
mawashigeri @WargamingPlayer2 maart 2026 20:49
De beste informatie tot nu toe heb ik via Mozilla Monitor
Reageer
WargamingPlayer @mawashigeri2 maart 2026 21:42
Ja, die geeft al meer. Dus er klopt gewoon niks van wat al die sites zeggen. Dus Odido moet gewoon eerlijk worden.

Gelukkig ben ik via mijn werkgever betrokken bij de nieuwe aanbestedingen mobile en vaste telefonie. Ga mijn macht gebruiken om van Odido daar af te komen. Dat scheelt gewoon 8000+ abonnementen.

[Reactie gewijzigd door WargamingPlayer op 2 maart 2026 21:44]

Reageer
roelst1 2 maart 2026 18:13
Ik ben benieuwd waarom tools zoals die van de politie niet laten zien welke data er gelekt is. Ik heb het argument voorbij zien komen dat het dan eventueel mogelijk is om de dataset op te bouwen door middel van scraping, maar dat lijkt me heel omslachtig als het complete bestand ergens te downloaden is. En zelfs als je dan mee gaat in dat argument, waarom niet voor elke belangrijke entry (email, paspoortnr, bsn, etc.) een aparte zoekfunctie maken? Dat zijn stuk voor stuk unieke identifiers, dus een "Dit staat in het lek" is dan al voldoende als resultaat.

Edit: Of nog beter, laat Odido zelf de klanten informeren welke data er precies is gelekt. Ik ben één van de velen die wel is getroffen, maar zelfs het eerste emailtje niet heeft gehad. Wat een belabberde communicatie zeg.

[Reactie gewijzigd door roelst1 op 2 maart 2026 18:15]

Reageer
ShadLink @roelst12 maart 2026 18:18
Ze (overheid/politie) zouden een tool kunnen maken waar je enkel je eigen gegevens kan downloaden mbv. een online Id check (digid). Zo krijg je niet dat je gegevens van iemand anders ziet, maar wel dat je de gerelateerde informatie krijgt.
Reageer
HakanX @ShadLink2 maart 2026 18:50
Wat als je bsn niet is gelekt, maar andere info wel? Er is voor de Politie vanuit DigID dan geen andere unieke key meer om op te zoeken.
Reageer
ShadLink @HakanX2 maart 2026 18:58
Digid bewaart meer dan alleen je BSN, ook je mobiele telefoonnummer, e-mailadres, paspoortnummer, adres, etc. zijn daar bewaard. (Kijk maar eens op mijn.overheid) En dan kan je simpelweg kijken of die zaken erin voorkomen. Natuurlijk kan je geen gegevens krijgen die niet direct tot jou te herleiden zijn.

[Reactie gewijzigd door ShadLink op 2 maart 2026 18:58]

Reageer
HakanX @ShadLink2 maart 2026 19:03
Je mobiele nummer kan opnieuw uitgegeven zijn. Emailadres moet dan toevallig wel hetzelfde zijn (bij mij is dat absoluut niet voor overheid en andere zaken). Je adres kan ook al iemand anders in wonen of van je medebewoners zijn. Paspoortnummer zou kunnen. Maar is ook slechts deels een oplossing, want die is lang niet altijd gelekt.

Niet vergeten dat er data in staat die meer dan 10 jaar oud kan zijn. Er kan dus heel veel gewijzigd zijn. Daarom heb ik het over een unieke key.

[Reactie gewijzigd door HakanX op 2 maart 2026 21:46]

Reageer
tfro71 @ShadLink2 maart 2026 20:04
Digid bewaart alleen je bsn. Mijnoverheid wordt gevuld uit de brp ofwel gemeentedata. Lijkt me trouwens ook een prima plek om data op te halen. Ze hebben zelf al die data al dus ontvangen niets nieuws en ze kunnen prima je identiteit vaststellen.
Reageer
wroeter @ShadLink2 maart 2026 18:47
Goed idee!
Reageer
themadone @roelst12 maart 2026 18:15
Of gewoon zoeken op je naam en de andere gegevens gebruiken ter verificatie?
Reageer
TomONeill 2 maart 2026 18:32
Kan iemand de gegevensset anders eens downloaden en er een website voor plaatsen die al je gestolen gegevens laat zien na een code invoeren die je per mail toegestuurd krijgt van het e-mailadres die in de gestolen gegevens staat? Thanks :P
Reageer
AuteurYannickSpinner Redacteur @TomONeill2 maart 2026 18:48
Dat doet de politie met Check je hack. Daar wordt deze dataset binnenkort aan toegevoegd.
Reageer
mvdklip @YannickSpinner2 maart 2026 19:01
Volgens https://www.politie.nl/informatie/checkjehack.html is de "Telecom Breach" dataset van 1 maart 2026 al doorzoekbaar.
Reageer
TomONeill @mvdklip2 maart 2026 20:05
Inderdaad! Al doet ie 't nog niet. Ik sta er sowieso in, maar heb geen mail ontvangen (ook niet na 5, 10 of 20 minuten). Over een aantal dagen nog maar eens proberen.
Reageer
mvdklip @TomONeill2 maart 2026 20:43
Klopt. Ik heb ook niks ontvangen. Bovendien lijkt ook Check je hack je alleen te vertellen óf je (e-mail adres) in een dataset voorkomt. Niet welke data er precies gelekt zijn.
Waarom krijg ik niet alle gegevens (naast e-mail) over mij die zijn aangetroffen?

Om de privacy niet te schaden van andere personen wiens gegevens ook in de bestanden zijn aangetroffen. De data zijn vaak niet gestructureerd en zeker niet alle gegevens zijn aan één e-mail te koppelen. Deze informatie kan dus niet via de checkjehack functie worden verstuurd.

[Reactie gewijzigd door mvdklip op 2 maart 2026 20:55]

Reageer
TomONeill @mvdklip2 maart 2026 21:34
Ahh dus niet wat @YannickSpinner hierboven aangaf. Jammer. Zou me niet echt kunnen voorstellen dat gegevens van een ander onder het e-mailadres van mij zou kunnen staan. Maar goed, we hebben het ermee te doen.
Reageer
AuteurYannickSpinner Redacteur @TomONeill3 maart 2026 07:50
Ah ja over dat stukje heen gelezen; je krijgt niet letterlijk de gegevens te zien inderdaad. Staat overigens ook in het artikel
Reageer
fier0x @TomONeill3 maart 2026 02:27
Bij mij hetzelfde, via de chat gaven ze overigens ook aan dat er problemen waren met hun tooltje. Zou handig zijn als ze er een waarschuwing bij plaatsen maar goed...
Reageer
amigob2 2 maart 2026 18:17
"er is simpelweg geen legale manier om erachter te komen welke van je gegevens er bij het datalek betrokken zijn."
Die is er eigenlijk wel.
Odido mag die gegevens wel downloaden
bepaalde Overheden ook
En die kunnen dan met die gegevens ook echt zie wat er gestolen is.
En die mogen dus wel controle websites maken of email sturen, maar dat is blijkbaar te veel gevraagd

Misschien dat ik dan een mail krijg. Ik blijf het herhalen ze hebben mij niet geïnformeerd. En Mijn vader wel , waar de mail en domain op precies de zelfde manier gehost wordt.

[Reactie gewijzigd door amigob2 op 2 maart 2026 18:23]

Reageer
xoniq @amigob22 maart 2026 18:53
Odido mag die gegevens wel downloaden
Ehh nee. Odido mag dat helemaal niet. Er zit namelijk informatie tussen die de bewaartermijn van 2 jaar ruimschoots voorbij gaan (10+ jaar) dus wat Odido nu al bezit mag niet, loopt ook een onderzoek naar. Dus nee, wat nu gelekt is hadden ze al niet mogen hebben.
Reageer
tfro71 @xoniq2 maart 2026 20:08
Er is geen max bewaartermijn van 2 jaar, alleen de belasting vereist al 7 jaar bewaartermijn . Je kunt nog iets vinden van de beschikbaarheid voor heel de klantenservice , dat.moet de AP uitrindelijk maar aangeven op basis vanbde avg
Reageer
xoniq @tfro712 maart 2026 20:10
Het staat in Odido haar eigen voorwaarden waar je mee akkoord gaat. Dus niet wettelijk, althans als je ermee akkoord gaan wordt dat wettelijk contractueel.

Dus nee, Odido mag je gegevens na 2 jaar helemaal niet meer hebben want daar ben je contractueel akkoord gegaan.

nieuws: 'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'
Klanten die vijf of tien jaar geleden zijn overgestapt naar een andere provider, hebben bericht gekregen dat hun gegevens zijn buitgemaakt, meldt de NOS op basis van het Financieel Dagblad. Odido werd vorige week getroffen door een datalek. Daarbij werden in totaal de gegevens van 6,2 miljoen mensen buitgemaakt. Ook klanten van Ben zijn getroffen door het lek.

Odido schrijft in zijn privacyverklaring dat het gegevens tot maximaal twee jaar na het einde van het contract bewaart, volgens het bedrijf voor het geval dat mensen weer klant willen worden. Factuurgegevens bewaart de provider maximaal zeven jaar na het einde van het contract, omdat dit verplicht zou zijn voor de Belastingdienst.

Odido zegt tegenover het FD dat het bedrijf meer tijd nodig heeft om uit te zoeken waarom klantgegevens langer dan twee jaar worden bewaard.

[Reactie gewijzigd door xoniq op 2 maart 2026 20:13]

Reageer
tfro71 @xoniq2 maart 2026 21:02
Niet alleen een klein stukje uit die voorwaarden lezen. Erboven staat dat de wet ook eisen stelt. Maar het is zeker geen mooi geformuleerd stukje, dat had duidelijk gekund. Dat laat overlet dat de wet simpelweg boven de voorwaarden van odido en jou contract staat.
Leningkje erbij genomen (voor je toestel) dan gelden er nog meer wetten.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq