Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten dat ze geen automatisch recht op compensatie hebben naar aanleiding van het datalek eerder deze week. Het bedrijf zegt dat criminelen in de praktijk niet automatisch identiteitsfraude kunnen plegen met de gestolen data. Ook denkt Odido niet dat schade door phishing kan zijn ontstaan door het datalek.

Dat schrijft Odido in een bijgewerkte pagina met informatie over het datalek dat eerder deze week plaatsvond. In de FAQ heeft Odido nu twee vragen en antwoorden opgenomen waarin wordt verwezen naar compensatie, of beter gezegd, hoe klanten daar in de praktijk niet op hoeven te rekenen. In een van die vragen wordt bovendien verwezen naar 'experts op Tweakers', al is onduidelijk waar die claim vandaan komt. De redactie van Tweakers heeft nog geen experts bevraagd over compensatie, al wordt er in de reacties onder het nieuws en op het forum wel door gebruikers onderling over compensatie gediscussieerd.

"Ik zie adviezen van cybersecurityexperts dat ik recht heb op compensatie (bv. Tweakers). Ik wil die compensatie nu graag krijgen. Wat is jullie compensatiebeleid?" schrijft Odido. Daar antwoordt de provider zelf op. "Een datalek geeft geen automatisch recht op compensatie. Onze inspanningen zijn er momenteel op gericht om juist te voorkomen dat klanten op enige manier schade zouden ondervinden als gevolg van dit incident. We hebben klanten proactief geïnformeerd zodat zij extra alert kunnen zijn op eventueel verdachte signalen."

Extra controles nodig voor identiteitsfraude

Odido verwijst daarbij ook naar een advies van het Centraal Meldpunt Identiteitsfraude. Dat is onderdeel van de Rijksdienst voor Identiteitsgegevens. De instantie waarschuwt voor met name het risico op gerichte phishingaanvallen, maar zegt ook dat met de uitgelekte gegevens van Odido 'niet zomaar een lening, bankrekening of telefoonabonnement kan worden afgesloten'. "Ook kan er geen nieuw identiteitsdocument mee worden aangevraagd. Daarvoor zijn extra controles nodig, zoals een fysiek identiteitsdocument, je DigiD of de inloggegevens van je bank." Tegelijkertijd waarschuwt de instantie ook dat sommige instanties niet altijd om die extra controles vragen. "Er bestaat daarom een risico dat wanneer zulke controles niet (zorgvuldig) worden uitgevoerd, gegevens toch misbruikt kunnen worden."

Ook klanten die denken dat ze gephisht zijn en daardoor schade hebben ondervonden, krijgen nul op het rekest. Dat schrijft Odido als antwoord op de vraag: "Ik heb schade door een incident, bijvoorbeeld door phishing. En ik heb hier concreet bewijs van. Kunnen jullie mij helpen dit ongedaan te maken? En kan ik compensatie krijgen?"

Odido antwoordt daarop: "Vervelend om te horen dat je kennelijk schade hebt ondervonden door een incident. Op grond van de op dit moment bij Odido beschikbare informatie hebben we nog geen aanleiding om te denken dat de eventuele schade het gevolg is van het datalek bij Odido. Voor zover je door Odido bent geïnformeerd over het datalek, verwijzen we je graag naar deze informatiepagina voor alle tips die we op dit moment geven aan onze klanten."

Odido stock (bron: Pixelbizz/Getty Images)

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 15-02-2026 09:34
725 • submitter: Wannial

15-02-2026 • 09:34

725

Submitter: Wannial

Lees meer

3 dagen geleden

Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf

306

17 feb 2026

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

299
Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden
Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden Nieuws van 27 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
Oplichtwebsite over Odido-datalek is niet meer bereikbaar
Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026
Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek
Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek Nieuws van 20 februari 2026
AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen
AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen Nieuws van 20 februari 2026
RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein
RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein Nieuws van 19 februari 2026
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Meer producten en artikelen
Beveiliging en antivirus Datalek Odido

Reacties (725)

-Moderatie-faq
725
715
420
32
0
204
Wijzig sortering

Sorteer op:

Weergave:
RobbyTown 15 februari 2026 11:24
Op hun veiligheids pagina zeggen ze beveiliging te hebben verscherpt. Maar...

Mocht je willen weten wie in je straat een internet abbo van Odido heeft kun je dat heel makkelijk achterhalen: https://www.odido.nl/serv...-en-onderhoud/internet-tv pc en hn invullen (zit ook geen limiet op het aantal checks). Rood kader geen klant, blauw kader wel klant die internet afneemt.

Met slechte intenties kan iemand zich voordoen als nep monteur van Odido.
Reageer
R4gnax
@RobbyTown15 februari 2026 11:35
Wow. Die is wel heel slecht, idd.
Goede manier om met een 'babbeltruc' ergens binnen te kunnen stappen.
Reageer
RobbyTown @R4gnax15 februari 2026 12:01
Totaal offtopic misschien. Dit komt vaker voor. Vereist echt geen hacker skills. Gelukkig zijn er nog wel bedrijven die actie ondernemen als je het meld.

Simyo had een aantal jaar terug een soort gelijk ‘lek’ maar dan via 06 nummer controle om zo samen korting te krijgen. Je kon op die manier achterhalen wie er wel en niet Simyo klant was. Met de foute intentie zou je dus gericht een sms incasso bericht kunnen sturen met als aanhef Beste Simyo klant, Er staat x bedrag open … Dit hebben ze alweer een tijdje terug gefixt. Op de bestelpagina van Simyo: Ken je iemand met een Simyo nummer?
Elk 06 nummer wat je ingeeft geeft nu als resultaat: Jullie krijgen allebei € 10 korting op de eerste factuur. Hierdoor is niet meer te achterhalen wie er wel of geen klant is van Simyo.
Reageer
GertMenkel
@RobbyTown15 februari 2026 14:48
Je kunt gewoon opzoeken of een nummer wel of niet bij Simyo hoort. Lijkt me een beetje onzinnig om daarvoor helemaal moeilijk te doen met Simyo accounts enzo.
edit:
Simyo specifiek kun je zo te zien niet opzoeken, hun nummers staan te boek als KPN? Aparte constructie, maar voor de meeste mensen werkt dit verder wel gewoon.

[Reactie gewijzigd door GertMenkel op 15 februari 2026 14:53]

Reageer
William_H @RobbyTown16 februari 2026 02:59
Dat zijn nu precies wel hacker skills, tenminste als we kijken naar de échte definitie van hacker. Niet die de populaire media er van gemaakt heeft. Kraken is crackers, maar dat gebruikt niemand (helaas).
Reageer
RayActive @William_H18 februari 2026 11:42
Een cracker is een kwaadwillige hacker.
Reageer
William_H @RayActive18 februari 2026 12:44
Precies! Er bestaat niet zoiets als White hat en Black hat. Je bhebt crackers en hackers. En onder die laatste beschouw ik mijzelf.
Reageer
Jerie
@RobbyTown18 februari 2026 00:48
Totaal offtopic misschien. Dit komt vaker voor. Vereist echt geen hacker skills.
Jawel, dit is wel een 'hacker skill', en dat het vaker voor zou komen doet daar niets aan af (SQL injection of XSS kwetsbaarheden komen ook 'vaker voor', doet er niets aan af). Dit is equivalent aan username enumeratie, en daar zou een rate limiter op moeten zitten, evt. met captcha (overigens ook te omzeilen, maar wel een horde). Je zou het ook willen loggen.

Het is ook een expertise (want er komt iets meer bij kijken dan 'veldje proberen in te vullen'; ik geef twee voorbeelden: web console kun je netwerk traffic zien, en response time, daar kun je soms conclusies aan verbinden). In een pentest rapport zou je dit ook kunnen opnemen. Ogenschijnlijk informational, en als er meer aan de hand heeft low prio, maar toch.

Je wilt niet weten hoeveel websites, nationaal en internationaal, kwetsbaar zijn hiervoor. Hier is ook software voor beschikbaar (bijv. holehe), en uiteraard kun je dat ook met eigen tests uitbreiden.

Overigens wel geestig. De pagina die @GertMenkel noemt zegt:
Om misbruik te voorkomen kunt u maximaal 10 zoekopdrachten per dag doen. Als het maximum is bereikt, krijgt u hiervan een melding. De volgende dag kunt u weer gebruik maken van het openbare nummerregister.
Die hebben dus wel een rate limiter. SIDN bijvoorbeeld heeft dat ook, er was een tijd dat ze dan niet hadden. Was een leuke tijd voor spammers, denk ik.

[Reactie gewijzigd door Jerie op 18 februari 2026 00:49]

Reageer
Aardwolf @RobbyTown15 februari 2026 12:11
Wtf. Ja dat lijkt exact te kloppen. Mindblowing dat zoiets niet achter een inlog zit van een actief account. Of anders in zijn algemeenheid op straat/wijkniveau ipv specifiek adres. Wat een incompetentie van Odido!
Reageer
RobbyTown @Aardwolf15 februari 2026 12:39
Dan heb ik er nog eentje.

https://www.odido.nl/service/buitenland
Vul daar 06 in kies land Denemarken. Je krijgt info van abbo terug of info dat er prijsafspraken zijn gemaakt = 06 zit bij Odido. Als die met een prijslijst komt aanzetten zit het nummer niet bij Odido.
edit:
Redelijk aantal nummers getest. In sommige gevallen geeft die zelfs specifiek aantal GB bundel terug.

[Reactie gewijzigd door RobbyTown op 15 februari 2026 13:25]

Reageer
GertMenkel
@RobbyTown15 februari 2026 14:46
Ala je wilt weten bij welke provider een nummer zit, dan vraag je dat gewoon op: https://www.acm.nl/nl/telefoonnummers-zoeken

Eerst check je of het nummer geporteerd is. Zo niet dan valt het nummer onder de bovenstaande provider die de nummerreeks beheert.

De chatbot laat misschien wat abonnementinformatie zien maar ik vind dat niet zo heel schokkend eerlijk gezegd.
Reageer
RobbyTown @GertMenkel15 februari 2026 15:41
Helemaal gelijk bij ACM kun je info ook opvragen alleen dat is toch iets meer gelimiteerd.

Om misbruik te voorkomen kunt u maximaal 10 zoekopdrachten per dag doen. Wil je dit omzeilen gaat het meer moeite kosten.
ik vind dat niet zo heel schokkend eerlijk gezegd.
Geen probleem mag je vinden ieder zijn menging. Odido hanteert geen limiet (waarom ook geen limiet van 10 ofzo?). Hierdoor kunnen veel grotere dataset opbouwen zonder tegen limieten aan te lopen. Wat een gevolg kan zijn een gerichte SMS sturen. Beste Odido klant, er staat nog een factuur open... Er blijven er nog helaas genoeg intrappen.

Idem voor: https://www.odido.nl/service/netwerk/storing-en-onderhoud/internet-tv

Ben wel benieuwd. Hoe kijk je daar tegenaan? wel of niet schokkend dat je komt te weten als iemand wel of geen Odido internet afneemt?
edit:
Offtopic. Er zijn meer registers waar info te achterhalen is soms gratis en soms niet. Nieuwe buren. Kleine vergoeding aan kadaster betalen voor rapport en je weet wat ze hebben afgerekend, hebben geleend en bij wie, naam en geboortedatum. Je doet er helaas weinig aan.

[Reactie gewijzigd door RobbyTown op 15 februari 2026 16:26]

Reageer
GertMenkel
@RobbyTown15 februari 2026 16:35
Omzeilen van zo'n limiet gaat middels een botnet (binnen de AI-bubbel ook wel "residential proxy" genoemd). Iedereen met een creditcard kan in principe duizenden IP-adressen van echte thuisgebruikers krijgen.

Nu begrijp ik sowieso niet waarom Odido zo'n functie op de website heeft zonder je ervoor hoeft in te loggen, maar je kunt de algemene toewijzingen van mobiele nummerreeksen gewoon als CSV downloaden. Kwestie van alle Odido-ranges spammen en hopen voor je spamtegoed dat je niet te veel geporteerde nummers tegenkomt.

Hoe het met die andere link zit weet ik niet, voor zover ik bekend ben met de Odido-website geeft die alleen bekende storingen in postcodegebieden aan, niet per se gegevens over specifieke Odido-adressen.

Ik heb genoeg "je hebt nog een factuur van KPN openstaan" mails gehad om te weten dat het criminelen niet zo heel veel scheelt of je wel of niet klant bent voor ze zo'n mail sturen. De mensen die geen klant zijn zuchten en gooien zo'n bericht wel, de klanten die dat wel zijn, zijn puur bij toeval de Sjaak. Ja, in theorie kun je als scammer eerst allemaal gegevens opzoeken enzo, maar tenzij je specifiek op jacht bent naar één persoon (bijvoorbeeld omdat die in de crypto zit of een groot bedrijf runt) heb je hier niet veel meer aan.

Gooi dit soort open API's op de hoop van redenen waarom je geen Odido zou nemen, maar veel mensen zullen liever een tientje of twee per maand besparen op hun glasvezel en mobiel. Ik zit nog een tijd aan contracten vast, helaas, puur omdat ik ze ooit als budgetprovider gekozen heb.
Reageer
RobbyTown @GertMenkel15 februari 2026 17:31
Dank voor de toelichting.
Hoe het met die andere link zit weet ik niet, voor zover ik bekend ben met de Odido-website geeft die alleen bekende storingen in postcodegebieden aan, niet per se gegevens over specifieke Odido-adressen.
Betreffende link. Korte uitleg. Wel of geen storing. Vul PC en HN in. Rood kader > geen internet abbo. Blauw kader > je hebt internet van Odido.

Hoe erg dat is geen idee maar men zou zich als nep monteur aan je kunnen voordoen/babbeltruc.

Los van dat. Dat gebeurt nu ook met 'bankmedewerker' en 'agent'.

[Reactie gewijzigd door RobbyTown op 15 februari 2026 17:49]

Reageer
Scriptkid @RobbyTown15 februari 2026 18:34
En dan, ga je een ander mode hangen of zo dat valt toch meteen op.
Reageer
RobbyTown @Scriptkid15 februari 2026 19:28
Nee geen ander modem hangen, je haalt gewoon de keet leeg zoals de nepagent. Een van de vele voorbeelden: https://www.hartvannederl...rval-geld-politie-gezocht. 'Monteur' neemt kistje mee voor betere WiFi dekking en doet een meting en installeert ook nog wat op de laptop voor ondersteuning op afstand. Hoezo geef je 40k mee aan een vreemde. Doe je toch niet? Blijkbaar wel.

Mogelijk dat sommige nu al alert zijn op nepagent en bankmedewerker omdat vaak in het nieuws komt (toch blijft het mis gaan) maar de nep monteur is nog niet zo vaak benoemd.

[Reactie gewijzigd door RobbyTown op 15 februari 2026 19:35]

Reageer
Scriptkid @RobbyTown15 februari 2026 19:34
dan heb je toch geen odido monteur smoes nodig, Als je dat doet bij normale mensen of de verkeerde kom je het huis niet meer uit,

En bij mensen waar dingen als dmentie etc spelen kun je zelfs claimen dat je van de draadloos stroom controle instantie bent.
Reageer
onno oliver @RobbyTown17 februari 2026 10:27
Kan alleen maar hopen dat Odido hun Processen op orde hebben zodat dat hun (gebruikte) werkkleding niet op sites zoals, Marktplaats, Ebay, Ali en of vlooien markten terecht komt?
Reageer
Hans1990 @RobbyTown15 februari 2026 19:37
Wow.. Dan mag ik hopen dat ze een goede WAF draaien daar. Anders heeft een grapjas binnen een paar dagen wel een aardige databank opgebouwd, vooral als ze ook nog profileren op rijke buurten binnen NL.

Ik zal even mijn wachtwoord resetten, maar ik weet niet meer welk e-mail ik heb gebruikt! Kan de website hier ook bij helpen? /S
Het kan tot 15 minuten duren voordat de e-mail binnenkomt. Na die tijd nog steeds niks? Mogelijk herkennen we je e-mailadres niet. Je krijgt alleen een bericht als je e-mailadres gekoppeld is aan het Odido account. Heb je je e-mailadres goed? Kijk dan even bij je ongewenste berichten. Of probeer het nog een keer.

[Reactie gewijzigd door Hans1990 op 15 februari 2026 19:40]

Reageer
mfkne 15 februari 2026 09:49
Odido beperkt zijn verantwoordelijkheid in de algemene voorwaarden tot maximaal 500 EUR per klant per gebeurtenis maar maximaal 225.000 EUR bij meerdere getroffen klanten.

Aangezien er sprake is van 6,2 miljoen klanten heeft iedereen dus maximaal recht op 3 cent compensatie.


Bron: Artikel 12 uit https://assets.odido.nl/x/5beeab7baf/20241014-algemene-voorwaarden-abonnee-consument.pdf
Reageer
Thekilldevilhil @mfkne15 februari 2026 10:08
Tjah, je kan alles in je algemene voorwaarde zeggen. De vraag is of het wettelijk ook juist is om je verantwoordelijkheid weg te schuiven. We gaan het zien, ik ga in ieder geval compensatie eisen...
Reageer
Dragonheart-03 @Thekilldevilhil15 februari 2026 10:21
Als iemand met ervaring in AVG zaken - tot aan bij de rvs aan toe - ik zou de jurisprudentie van het Hof van de afgelopen jaren er eens op naslaan, wat is nl je exacte schade die je in NL dient te kunnen opbouwen via een onrechtmatige daad constructie.
Je zult de schade voldoende moeten onderbouwen om bij de rechter gelijk te halen. En stel dat je de schade eerst schikt voor 500 euro - ik noem maar iets onder stilzwijgen (en sluitend) - stel dat dat gebeurt en over 5 jaar gebeurt er daadwerkelijk iets waar je flink veel last van hebt (met feitelijke schade groter dan 50k) , wat ga je dan doen. Je hebt immers reeds geschikt.
Ik zou compensatie verzoeken en onderbouwen en dan naar de rechter gaan (in plv eisen). ;)
M.a.w. gaat het je om het principe of om de feitelijke praktijk.
Reageer
MarvinJames @Dragonheart-0315 februari 2026 12:00
Ik vraag mij bijvoorbeeld af: Is het acceptabel dat een klant een nieuw paspoort/id-kaart/rijbewijs en rekeningnummer wil aanvragen op kosten van Odido?
Reageer
Hamsterfish @MarvinJames15 februari 2026 13:42
Ik heb iig Ben een mail gestuurd met het verzoek een nieuwe ID-kaart te betalen aangezien mijn gelekte ID-gegevens minder dan een jaar oud waren. Zal wel niks worden.
Reageer
jimzz @Hamsterfish15 februari 2026 15:16
En wat heb je aan een nieuwe ID kaart dan? Daar staat gewoon hetzelfde op hoor, zelfde bsn nummer zelfde naam, zelfde geboortedatum. Dus lijkt me nogal onzinnig.
Reageer
TheNooz @jimzz15 februari 2026 15:42
Veel gegevens blijven inderdaad hetzelfde. Maar het cruciale verschil is het documentnummer. Dat is bij dit lek ook buitgemaakt en dat krijg je bij een nieuwe kaart wel uniek nieuw.

Je zou kunnen argumenteren dat losse gegevens op zichzelf niet direct schadelijk hoeven te zijn maar juist de combinatie van al die gevoelige data maakt het aanvalsvlak een stuk groter.
Reageer
Scriptkid @TheNooz15 februari 2026 18:17
En als de hackers morgen ergen je I'd kaart gebruiken denk je dan echt dat de controlerende partij het document nummer na gaat trekken.
Reageer
vrow @Scriptkid15 februari 2026 19:41
Je bent mij voor.

Het documentnummer kúnnen ze niet eens natrekken. Bij het postkantoor schrijven ze ook het documentnummer op als je je pakketje afhaalt, maar dat is puur dat als het toch door een boef is opgehaald, dat ze dan dan nummer aan de politie kunnen doorgeven zodat die er verder onderzoek naar kan doen.

Maar het wordt tijd voor tokens. Online kan dat al prima met iDin/Itsme en offline moeten winkels/bedrijven ‘gewoon’ een id-kaart-lezer hebben waar je je id-kaart in stopt en je zescijferige pincode invoert en dan heb je de aanvraag (bijv. huurovereenkomst van gereedschap of een auto) ondertekend. Ophouden met al die kopietjes van id-kaarten overal te maken, ophouden met overal je documentnummer in te moeten voeren.

Zodra we gewoon werken met tokens, kun je gewoon zelf een scan van je id-kaart en je bsn online zetten en heeft niemand er wat aan.
Reageer
troy417 @vrow15 februari 2026 20:52
Klinkt mij als leek als een best goed idee m.b.t. de praktische implementeerbaarheid. Echter zou het technisch mogelijk zijn om een pincode aan de nfc chip in de bestaande series paspoorten / is kaarten te koppelen?
Reageer
Scriptkid @vrow15 februari 2026 22:49
Daar hebben we een perfecte oplossing voor,

Entra verrified ID,

Expose alleen die velden die je wilt, en token is time bound geldig voor de partij waar je hem laat zien.
Werkt perfect en bewijst dat jij jij bent zolang jij je MFA op je telefoon kunt doen ten tijden je hem afgeeft aan de andere partij.
Reageer
3raser @vrow16 februari 2026 11:19
Klinkt als een gat in de markt. Dus waarom is er nog geen commerciële partij ingedoken die tokens mogelijk maakt en afspraken maakt met een paar grote partijen die veel identiteitsbewijzen willen verifiëren?
Reageer
jongetje
@Scriptkid16 februari 2026 07:47
Het enige dat je kunt doen is controleren of een document nummer geldig is (als je daar autorisatie voor hebt bij het rvig).

https://www.rvig.nl/documentverificatiedienst

Verder kan niemand iets met dat nummer behalve de gemeente die je document heeft uitgegeven of het RVIG.


Omdat niemand de consequentie weet schiet iedereen in de stress. Maar als je een abonnement af afsluit kan er hoogstens gecontroleerd worden of een documentnummer geldig is of niet. Meer is onmogelijk.
Reageer
jorisvergeerTBA @Hamsterfish15 februari 2026 15:18
Maar op je nieuwe ID kaart staan dezelfde gegevens? Alleen nieuw pasnummer misschien.
Reageer
Donstil @jorisvergeerTBA15 februari 2026 16:36
Maar op je nieuwe ID kaart staan dezelfde gegevens? Alleen nieuw pasnummer misschien.
Nou niet misschien, dat is zo. Als je ID/paspoort dus misbruikt word en jij hebt netjes een nieuwe aangevraagd dan kan je aantonen dat jij het niet geweest bent. Vraag je geen nieuwe aan is dat een heel stuk moeilijker.

Oftewel, absoluut een nieuwe aanvragen als het op deze schaal gelekt is.
Reageer
vrow @Donstil15 februari 2026 19:45
Een documentnummer kennen toont toch überhaupt niks aan over wie het was?

Als jij een nieuw document aanvraagt, dan heb jij de oude ook nog (met gaten erin). Of je hebt het nummer vooraf overgeschreven. Dus als jij daarna iets aanvraagt en dat nummer daarbij doorgeeft, dan is nu aangetoond dat jij het niet was omdat je ook een nieuwer document hebt?

Ik snap je gevoel wel, maar als je hier even rationeel naar kijkt, dan klopt het niet helemaal wat je gevoel aangeeft.
Reageer
Donstil @vrow15 februari 2026 20:27
Een documentnummer kennen toont toch überhaupt niks aan over wie het was?

Als jij een nieuw document aanvraagt, dan heb jij de oude ook nog (met gaten erin). Of je hebt het nummer vooraf overgeschreven. Dus als jij daarna iets aanvraagt en dat nummer daarbij doorgeeft, dan is nu aangetoond dat jij het niet was omdat je ook een nieuwer document hebt?

Ik snap je gevoel wel, maar als je hier even rationeel naar kijkt, dan klopt het niet helemaal wat je gevoel aangeeft.
Het gaat er dan ook niet om dat ik een document aanvraag en het oude nummer opschrijft.

Het gaat er hierom dat, als je data op straat ligt in combinatie met je ID, die gegevens minder waardevol zijn wanneer je een nieuw ID aanvraagt, omdat je oude ID-nummer dan uit de roulatie gaat en jij als persoon kunt aantonen dat je al een nieuwe hebt. Wat een gelekt ID-nummer direct een heel stuk minder bruikbaar maakt, of zelfs waardeloos. Heeft niets met gevoel te maken, is simpelweg hoe het werkt. Of iemand dat risico wil nemen moet iedereen zelf bepalen natuurlijk, dat heeft misschien wel met gevoel te maken.


Mijn data is verder niet gelekt bij Odildo overigens, ik geef alleen aan hoe het werkt.
Reageer
vrow @Donstil15 februari 2026 23:26
Sorry, maar dan begrijp ik je niet helemaal.

Mijn data is wel gelekt dus ik er ervan uit dat iedereen dat documentnummer nu heeft. Prima, want op zich zou je daar helemaal niks mee moeten kunnen bestellen of doen.

Maar stel dat er wel een bedrijf is die op basis daarvan iets me je aangaat. Zo’n bedrijf kan dat nummer niet checken op geldigheid en misschien wel op juistheid (zit er een 11-proef in, ik weet het niet). Maar op geldigheid kunnen ze iig niet checken. Dus als je dan een nieuw nummer neemt, is het oude nummer nog net zo geldig of ongeldig, wat dat bedrijf waar je zaken mee doet betreft.

Dus je kan zelf ook nú zeggen dat je je oude id kwijt bent, een nieuwe kopen en dan het oude nummer gaan gebruiken en dan zeggen dat jij het niet was omdat je al een nieuwe had gekocht.

Begrijp je wat ik bedoel te zeggen? Of zit ik ergens verkeerd in mijn redenatie?
Reageer
echtwaar? @vrow16 februari 2026 04:53
Je geeft de oude als verloren/kwijt op, vervolgens word hij zo geregistreerd, elke beetje belangrijke partij kan hier op controleren, als ze dat niet doen en je bent zelf niet een oude kopie aan het gebruiken (das strafbaar) dan kan vrijwel zeker elke handeling terug gedraaid worden.
Reageer
patrick_82 @echtwaar?17 februari 2026 09:24
Exact dit dus!
Een ieder die aangeeft dat zij hier niks mee kunnen o.i.d. slaat de plank volledig mis.
Bij enkel en alleen al het aanvragen van een nieuw abonnement wordt gevraagd je documentnr. in te voeren.
Toevallig een paar weken geleden verlengd bij Odido (helaas), waarbij dit gevraagd werd, en ik hier een typfout in maakte, dus die werd gelijk rood gemarkeerd.

Wij vragen dus zeker een nieuw ID kaart aan, omdat mijn vrouw en ik beide bij Odido zitten.
Je geeft bij de gemeente dan op het oude documentnr, ongeldig te verklaren, waardoor je feitelijk dus niks meer kan met het oude ID-kaart.
i.i.g. geen abo, leningen etc. aanvragen, omdat er wel terdege een controle plaatst vindt op je document nr.

Of het dus verstandig is je ID-Kaart te vernieuwen? Zeker wel.

Verder zelf gewoon je gezonde verstand vanaf heden gebruiken.
Spam, telefoontjes, vreemde zaken op rekeningen enz. enz.
Dit moet je evengoed doen uiteraard, maar goed om te benoemen.

[Reactie gewijzigd door patrick_82 op 17 februari 2026 09:26]

Reageer
Donstil @vrow16 februari 2026 10:54
Sorry, maar dan begrijp ik je niet helemaal.

Mijn data is wel gelekt dus ik er ervan uit dat iedereen dat documentnummer nu heeft. Prima, want op zich zou je daar helemaal niks mee moeten kunnen bestellen of doen.

Maar stel dat er wel een bedrijf is die op basis daarvan iets me je aangaat. Zo’n bedrijf kan dat nummer niet checken op geldigheid en misschien wel op juistheid (zit er een 11-proef in, ik weet het niet). Maar op geldigheid kunnen ze iig niet checken. Dus als je dan een nieuw nummer neemt, is het oude nummer nog net zo geldig of ongeldig, wat dat bedrijf waar je zaken mee doet betreft.

Dus je kan zelf ook nú zeggen dat je je oude id kwijt bent, een nieuwe kopen en dan het oude nummer gaan gebruiken en dan zeggen dat jij het niet was omdat je al een nieuwe had gekocht.

Begrijp je wat ik bedoel te zeggen? Of zit ik ergens verkeerd in mijn redenatie?
Uiteraard kan je dit zelf ook doen maar zoals @echtwaar? al aanhaalt, is dat strafbaar, dat je het zelf ook zou kunnen doen doet verder niets af aan het punt waar ik op reageerde.

Als die data op straat ligt en in potentie bij kwaadwillende terecht zou kunnen komen, dan is vervangen het enige goeie advies.
Reageer
Scriptkid @Donstil15 februari 2026 18:18
Dan kan je onderhand wel jaarlijks een nieuwe aanvragen.
Reageer
dabrainz @Scriptkid16 februari 2026 08:58
Ben jij jaarlijks slachtoffer van een lek waar je documentnummer lekt?
Sure, er zijn met regelmaat dataleks, maar dit is voor het eerst, dat ik het lees, dat mogelijk ook documentnummers gelekt zijn.
Als dat niet gelekt is, heeft een nieuwe aanvragen natuurlijk ook geen zin.
Reageer
Scriptkid @dabrainz16 februari 2026 09:45
Mescchien iets beter de data lekken in de gaten houden

Vooral die van hotel ketens waar je creditcard en je ID bekend is.
Reageer
useruser @Scriptkid15 februari 2026 20:02
Dan kan je onderhand wel jaarlijks een nieuwe aanvragen.
Goed punt, zou er een structureel probleem zijn?
Reageer
aikebah @Hamsterfish15 februari 2026 17:39
Kansloos, want
Wat niet is gelekt:
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Reageer
wpm @aikebah15 februari 2026 17:44
Ik heb in mijn brief staan dat deze gegevens bij mij wel zijn gelekt.
Reageer
thetakman @wpm15 februari 2026 18:16
Idem ditto hier.
Reageer
Patrickkkk @thetakman15 februari 2026 18:53
@wpm /@thetakman Ben je op dit moment nog klant? Ik ben ex-klant en bij mij geven ze ook aan dat dit niet gelekt is. Nieuwsgierig of het verschil daardoor komt

[Reactie gewijzigd door Patrickkkk op 15 februari 2026 18:54]

Reageer
thetakman @Patrickkkk15 februari 2026 19:08
Op dit moment nog klant, wel al een jaar geleden dat ik afgesloten heb en sindsdien loopt het door.

Maar mijn vrouw die op exact hetzelfde moment haar 06 sim only abonnement heeft niet.
(hebben beiden een sim only abonnement, echter staat TV + Internet thuis op mijn naam)\

[Reactie gewijzigd door thetakman op 15 februari 2026 19:09]

Reageer
CousinBoneless @Patrickkkk15 februari 2026 20:43
Ik heb ooit een Odido glasvezelabo besteld, maar geannuleerd en niet afgenomen. Ik heb geen brief ontvangen.

Jij zegt dat je ex-klant bent. Hoezo heeft Odido jouw gegevens dan nog? Zijn ze niet wettelijk verplicht deze te verwijderen? Heeft geen enkel doel meer?
Reageer
AWiersma @CousinBoneless16 februari 2026 08:58
Volgens de e-mail van Odido gaat het om mensen die in de afgelopen 24 maanden hun abonnement hebben opgezegd. Ze geven aan een bewaarperiode van twee jaar te hebben.
Reageer
elbowlessgoat @CousinBoneless16 februari 2026 09:06
Ze zijn wettelijk verplicht gegevens niet langer te bewaren dan ze nodig zijn onder de AVG.
Onder andere wetgeving zijn ze verplicht gegevens voor X tijd te bewaren. Bijvoorbeeld gegevens rondom betalingen hebben dacht ik een bewaartermijn van 7 jaar (correct me if I'm wrong).

Afhankelijk van hoe lang iemand geen klant meer is kunnen alle of delen van de informatie nog in het systeem staan omdat deze bijv. wettelijk nog nodig zijn. Zodra die retentietermijnen verstreken zijn, moet het vervolgens verwijderd worden.
Reageer
dabrainz @CousinBoneless16 februari 2026 09:00
Het tegenovergestelde is waar.
Ze zijn verplicht om bepaalde gegevens te bewaren voor de fiscus e.d.

Ze bewaren alleen veel meer dan nodig is. Überhaupt zou informatie omtrent identiteitsbewijzen alleen ter verificatie moeten zijn. Dat zouden ze echt nooit op mogen slaan.
Reageer
Aiii @Patrickkkk15 februari 2026 20:22
Nee, want ik ben al jaren geen klant meer en toch zijn die gegevens door Odido verspeelt aan criminelen.
Reageer
wpm @Patrickkkk16 februari 2026 09:10
Ik ben zakelijk klant.
Reageer
pa2ra @wpm15 februari 2026 23:28
Hoeveel berichten heb je hierover van Odido gehad? Ik heb maar 1 mail gehad.
Reageer
ledroledro @aikebah15 februari 2026 21:02
Er zijn een hoop mensen waarvan paspoort/rijbewijs nummer wel zijn gelekt.
Ik neem aan dat dit mensen zijn met een mobiel abonnement. Waarschijnlijk heb je zelf alleen internet abbonement.
Reageer
aikebah @ledroledro16 februari 2026 08:01
Nee, juist enkel mobiel abbo. Maar las inderdaad bij andere reacties dat er schijnbaar ook mails rondgaan waar ID documentnummer in de "wel gelekt" set staat.
Reageer
IplugNplay @Hamsterfish15 februari 2026 22:13
Je kan Ben mailen wat je wilt, ik heb zelf via hun contactformulier een abbo opgezegd, dat werd pas na de zoveelste mail meer als 15 maanden later doorgevoerd.

Wat dat betreft is Ben een van de slechtste providers.
Reageer
Nap @MarvinJames16 februari 2026 04:01
Hoe bedoel je "acceptabel" en door wie moet het "acceptabel" gevonden worden, want je stelt om het maar even zo te noemen: "De meest wijd openstaande open vraag ooit gesteld:""
Reageer
Arunia @Dragonheart-0315 februari 2026 11:06
Niemand gaat hard kunnen maken hoeveel schade ze hebben of gaan hebben hierdoor.
Heb mijn schoonmoeder gewaarschuwd voor spam berichten, telefoontjes en mails. Want dat is de schade die je uiteindelijk gaat krijgen. Dat je bovenstaande met zekerheid naar je toe krijgt. Trap je erin, dan is dat je schade, maar dat ga je van Odido waarschijnlijk nooit terug krijgen omdat je er zelf in bent getrapt.
Reageer
useruser @Arunia15 februari 2026 20:04
Daarnaast moet je kunnen aantonen dat de phishing mail of belletje die je gehad hebt mogelijk is gemaakt door het lekken bij odido. Enige manier waarop ik dat zie gebeuren is met unieke email adressen voor elke partij (iets dat ik zelf wel doe).
Reageer
Franckey @useruser15 februari 2026 23:48
Precies hiervoor vul ik bij elke partij een emailadres in met de naam van die partij. Zowel met Outlook als Gmail kan je dat doen met een plus-teken in je emailadres. Helaas wordt dat soms onterecht als een ongeldig emailadres gezien.
Reageer
jongetje
@Franckey16 februari 2026 07:41
En dat kunnen hackers er toch ook weer vrij eenvoudig afhalen...(of vervangen).
Reageer
Franckey @jongetje16 februari 2026 11:19
Dat kan, maar die moeite wordt vaak niet gedaan is mijn ervaring. En om die reden gebruik ik voor de plus adressen een speciale email alias. Dus een mail naar dat adres zonder plus toevoeging is sowieso een foute mail.
Reageer
oks @useruser16 februari 2026 08:05
Hoezo ligt de bewijslast bij de klanten van odido? Daar kun je denk ik wel vragen bij stellen. Zeker in zo een grote zaak als deze. Ik denk dat je daar op zich al een rechtzaak over kunt voeren. In ieder geval zal de staat hier met een vergrootglas door heen moeten. Als het zo makkelijk wordt om identiteit moeilijker vast te stellen, heeft de staat (wij allemaal, wij zijn een democratie) wel degelijk een appeltje te schillen. Er is schade voor ons allemaal, niet alleen de klanten van Odido. De aanname dat een bedrijf met een vooraf declaratie van wat je wel of niet tot je verantwoordelijkheid ziet dan ook gevrijwaard is van enige gevolgen die zij met grote kans veroorzaken (6 miljoen is een significante stijging van de kans). Meh. Ik zou zeggen dat mag de rechter bepalen en verschillende toezichthouders hebben denk ik ook een functie. Als dit zomaar voorbijgaat hebben we met zijn allen door ons stemgedrag wel heel slecht gezorgd voor onze democratie.
Reageer
Xerpan @oks16 februari 2026 09:49
ODIDO wil maximaal 500 euro vergoeden. Laat de toezicht houder dan een boete van 500 euro per klant opleggen. Dat maakt 3 miljard. Dat vult een aardig gat in de staatsbegroting. En daar hebben we allemaal iets aan. Bovendien werkt het behoorlijk afschrikwekkend. Beveiliging zal dan grote prioriteit krijgen, omdat de kosten van een datalek gigantisch zijn.

Bij die boete moet ook worden opgelegd dat de prijzen vijf jaar lang met niet met meer dan de inflatie (uh, geldontwaarding) mogen stijgen, om te voorkomen dat de klanten alsnog de rekening betalen.
Reageer
useruser @Xerpan16 februari 2026 10:49
Bij die boete moet ook worden opgelegd dat de prijzen vijf jaar lang met niet met meer dan de inflatie (uh, geldontwaarding) mogen stijgen, om te voorkomen dat de klanten alsnog de rekening betalen.
Dat gaat hem niet worden gok ik. In theorie betekent het natuurlijk wel dat door gestegen prijzen om een boete terug te verdienen de concurrentie opeens een stuk aantrekkelijker wordt.
Reageer
Arunia @useruser15 februari 2026 21:17
Ook dat inderdaad.
Zelf ooit begonnen met toen bij gmail +xxxx achter de mail te doen, maar ja. De eerste die ik pakte werkte al niet eens. Geen idee of het beter ingeburgerd is. Want dan ga ik dat alsnog weer proberen te doen.
Reageer
Floort @Dragonheart-0315 februari 2026 11:04
Aanvullend: onder artikel 82 AVG zal je ook moeten onderbouwen dat de schade is veroorzaakt als gevolg van een overtreding van de AVG. Gehackt worden is op zichzelf geen overtreding. De overtreding van de AVG is als individu lastiger te bewijzen dan de schade. Ik heb voor dit incident nog niet eens goed onderbouwde claims gezien van overtredingen van de AVG.
Reageer
sroolvink @Dragonheart-0315 februari 2026 18:36
Ik ben eerder benieuwd hoe zit het met het bewaarrecht van gegevens? Ik ben blijkbaar ook onderdeel van het lek bij Ben, terwijl ik daar al om en nabij 4 jaar weg ben. Hoelang mogen zij mijn gegevens bewaren?
Reageer
Bumpy_NL @sroolvink15 februari 2026 20:08
Ik zou verwachten dat het een "moeten" is voor de belastingdienst. Ik meende 5 jaar.
Reageer
pa2ra @Bumpy_NL15 februari 2026 23:29
7 jaar
Reageer
chrisboers @Thekilldevilhil15 februari 2026 10:12
Probleem is dat je dan wel hard moet kunnen maken dat je ook echt schade hebt gehad. Een juridisch grijs gebied, want dan begeeft je je in 'verlies van zelfbeschikking over persoonlijke data' en dergelijke. Niet elke rechter gaat daar in mee.
Reageer
THETCR @chrisboers15 februari 2026 10:20
Het openbaar maken van je privégegevens is volgens de rechtbank al een vorm van schade. Kijk bijvoorbeeld naar eerdere incidenten omtrent doxing.
Reageer
Jimster @THETCR15 februari 2026 10:27
Maar hoe ga je bewijzen dat jouw gegevens zijn gelekt? Zelfs Odido weet niet van welke klanten de gegevens gelekt zijn. En daarnaast, hoe bewijs je dat de gegevens afkomstig zijn van Odido.
Reageer
Mark87 @Jimster15 februari 2026 10:58
Begin met overal een ander mail adres gebruiken. Dat zou al een hele stap zijn in het aannemelijk maken waar bepaalde gegevens mogelijk zijn gelekt. Dat dat wat werk is en mogelijk met het oog op de toekomst het handig kan zijn je mail op een eigen domeinnaam onder te brengen met een provider die catch all ondersteund is dan iets waar je mogelijk wat geld voor over moet hebben.
Reageer
Upr0ar @Mark8715 februari 2026 14:26
Begin met overal een ander mail adres gebruiken. Dat zou al een hele stap zijn in het aannemelijk maken waar bepaalde gegevens mogelijk zijn gelekt. Dat dat wat werk is en mogelijk met het oog op de toekomst het handig kan zijn je mail op een eigen domeinnaam onder te brengen met een provider die catch all ondersteund is dan iets waar je mogelijk wat geld voor over moet hebben.
Daar is zelfs een goedkoper alternatief voor; het gebruik van email aliassen, zelfs met een gratis account bij SimpleLogin kun je max. 10 aliassen aanmaken. Was echt een game-changer voor mij.

Webshops, mailinglists, nutsbedrijven, instanties, financiën, gaming - hebben bij mij allen een eigen alias.
Reageer
Donstil @Upr0ar15 februari 2026 16:40
[...]

Daar is zelfs een goedkoper alternatief voor; het gebruik van email aliassen, zelfs met een gratis account bij SimpleLogin kun je max. 10 aliassen aanmaken. Was echt een game-changer voor mij.

Webshops, mailinglists, nutsbedrijven, instanties, financiën, gaming - hebben bij mij allen een eigen alias.
En voor de vele Apple gebruikers een onderdeel van iCloud+. Op het moment dat je een email adres moet invullen komt er netjes een pop-up op iOS/iPadOS die deze dienst aanbied. Aanrader voor iedereen en heeft geen limiet voor zover ik weet (ik zit op 220 bijvoorbeeld).

[Reactie gewijzigd door Donstil op 15 februari 2026 19:01]

Reageer
pksparks @Donstil15 februari 2026 18:51
Hi, kan je mij vertellen hoe ik dit kan instellen bij icloud?
Reageer
Donstil @pksparks15 februari 2026 19:00
Hi, kan je mij vertellen hoe ik dit kan instellen bij icloud?
Ja goeie, ik pas mijn originele bericht ook even aan. Je vind hier de info die je nodig hebt.
Reageer
pksparks @Donstil16 februari 2026 15:16
Dankjewel, weer wat nieuws geleerd
Reageer
Blaise @pksparks16 februari 2026 11:58
Je hebt een betaald iCloud abonnement nodig (iCloud+, vanaf €1 per maand). De functionaliteit heet "Hide My Email". Je krijgt dan standaard bij loginschermen de keuze om een <randomnaam>@icloud.com adres te gebruiken voor je werkelijke e-mailadres. Je werkelijke e-mailadres hoeft niet de iCloud-emaildienst te zijn, ik gebruik bijvoorbeeld Gmail. Je kan ook handmatig nieuwe aliasen instellen via Settings / Apple Account / iCloud / Hide My Email.

Firefox biedt een soortgelijke dienst gratis aan onder de naam Firefox Relay.

[Reactie gewijzigd door Blaise op 16 februari 2026 11:59]

Reageer
pksparks @Blaise16 februari 2026 15:17
Dankjewel. Toevallig heb ik betaald icloud abo. Wist dit niet, maar weer wat geleerd, en direct in gebruik genomen
Reageer
Upr0ar @Donstil15 februari 2026 16:53
"en heeft geen limiet voor zover ik weet (ik zit op 220 bijvoorbeeld)"

----

Oeh, nice! Dan kun je zelfs voor elk account een eigen alias aanmaken, en is het al helemaal makkelijk om een lek te isoleren! 👍🏻 (Of vast te stellen wie er lekt)
Reageer
Donstil @Upr0ar15 februari 2026 17:36
"en heeft geen limiet voor zover ik weet (ik zit op 220 bijvoorbeeld)"

----

Oeh, nice! Dan kun je zelfs voor elk account een eigen alias aanmaken, en is het al helemaal makkelijk om een lek te isoleren! 👍🏻 (Of vast te stellen wie er lekt)
En heel makkelijk het adres op te heffen. Ook een enorm voordeel.
Reageer
andries98 @Donstil15 februari 2026 19:33
Ik ben dan wel benieuwd, gebruik je dan dan overal donstil_winkelnaam of iets dergelijks? Dan is het namelijk wel erg makkelijk raden wat je email is voor bol of ing of whatever. Net als dat je bij bijv Gmail ook met zo'n streepje kan werken en hij het automatisch doorstuurt.
Reageer
Donstil @andries9815 februari 2026 19:36
Ik ben dan wel benieuwd, gebruik je dan dan overal donstil_winkelnaam of iets dergelijks? Dan is het namelijk wel erg makkelijk raden wat je email is voor bol of ing of whatever. Net als dat je bij bijv Gmail ook met zo'n streepje kan werken en hij het automatisch doorstuurt.
Nee hij maakt, elke keer dat je het gebruikt, een uniek adres aan. Meestal is het zoiets als <woord>.<woord>.<letter><cijfer>@icloud.com. Er zit geen verwijzing in naar de gebruiker erachter.
Reageer
andries98 @Donstil15 februari 2026 19:42
Dat klinkt wel nice, jammer dat ik uit het apple systeem ben. Maar thnx voor de tip!
Reageer
3sjah @Mark8715 februari 2026 11:09
Dat is precies wat ik nu doe inderdaad. Ik maak gebruik van aliassen. Het emailadres wat ik bij odido heb gebruikt, gebruik ik nergens anders. Dus zou prima kunnen aantonen ahv dit emailadres dat een eventuele phishing campagne die binnenkomt op dit emailadres komt door hun datalek.
Reageer
Raymond Deen @3sjah15 februari 2026 20:26
Zodra er bij verschillende lekken andere overlappende gegevens zoals bsn, mobiel nummer, postcode + huisnummer combinatie zijn dan helpt een uniek e-mail adres ook niet meer. Dan spammen ze gewoon al die verschillende adressen…

Dit soort gegevens moeten gewoon niet te exporteren zijn door elke willekeurige helpdesk medewerker en gegevens moeten zo kort mogelijk opgeslagen blijven als nodig. Paspoortnummers horen daar bijvoorbeeld helemaal niet bij, want die zijn alleen nodig ten tijde van de identiteitscontrole.
Reageer
Scriptkid @Mark8715 februari 2026 18:21
Hoe zie zij het verschil tussen jouw gelekte I'd kaarten op basis van een uniek I'd kaart.
Reageer
jimzz @Jimster15 februari 2026 15:19
Dat kan, als je je email adres bij odido had ingevuld als mijnemail+odido@gmail.com

Als jouw gegevens dan gelekt zijn, dan krijg jij mailtjes van spammertjes gericht aan dit email adres. Gaat nog steeds gewoon naar mijnemail@gmail.com, maar dat had je op z'n minst wat meer informatie kunnen geven over wie jouw data gelekt heeft.
Reageer
HansMij @jimzz15 februari 2026 18:33
Die spammertjes weten ook wel dat als ze die +odido eraf halen, dat de kans dat je de mail serieus neemt groter is.Daarom odido@domain.tld.
Reageer
jimzz @HansMij15 februari 2026 18:42
Maar die spammertjes sturen niet een mail naar jou specifiek maar naar honderden of duizenden tegelijk. Ze zullen echt niet gaan kijken wie er wel of niet dat achter de naam heeft. En ik kan ook mail+vodafone hebben ingevuld ipv odido. Wat wel kan is natuurlijk een scriptje draaien waar alles met + t/m @ wordt gestript. Maar ik denk eerlijk gezegd dat voor die paar mensen die er dan waarschijnlijk toch niet in gaan trappen dit te veel moeite is.

Ik ben eerder van mening dat we ipv spammertjes aanpakken, de methode moeten aanpakken. Hoezo draait de wereld nog steeds op het gruwelijk verouderde email systeem? En hoezo zitten er aan email nul controles, hoezo mag dit anoniem of in naam van en zo kan ik nog wel ff doorgaan.
Reageer
Raymond Deen @jimzz15 februari 2026 20:48
Die spammertjes doen dat niet met de hand hoor, maar met een regex ;)
Reageer
Franckey @Raymond Deen15 februari 2026 23:53
Daarom gebruik ik voor de + adressen een speciale mail alias. Als ik mail krijg op dat adres zonder een + dan weet ik direct dat dat een foute mail is.
Reageer
Raymond Deen @Franckey16 februari 2026 12:38
Het is alleen jammer dat ze ook op andere gegevens kunnen koppelen zoals adres, mobiel, bsn, voornaam, achternaam, etc. Voor pakketjes moet je altijd je adres opgeven, voor spullen als een mobiel ook identiteitsbewijs.

Wanneer je een aantal van die tabellen naast elkaar zet dan zie je de relaties ertussen als een rode draad lopen. Daarom is het ook zo vervelend als bij verschillende lekken er overlappende gegevens gelekt worden; ze kunnen heel makkelijk hun dataset ermee verrijken.
Reageer
THETCR @Jimster15 februari 2026 10:34
Odido is verplicht je hiervan op de hoogste stellen. We hebben hiervoor ook nog de Autoriteit Persoonsgegevens die onderzoek kan afdwingen.

Wanneer jij niet meer kan achterhalen van welke klanten de gegevens precies gestolen zijn moet je er vanuit gaan dat ze allemaal gelekt zijn.

Uiteindelijk zal de totale lading aan gegevens ook op het internet komen te staan.

De wet is hier compleet ondubbelzinnig over. De verantwoordelijkheid ligt bij Odido. Niet bij de consument om maar te bewijzen dat hun gegevens daadwerkelijk zijn gelekt.
Reageer
Mathijs Kok @THETCR15 februari 2026 13:09
Je geeft geen antwoord op de vraag...
En daarnaast, hoe bewijs je dat de gegevens afkomstig zijn van Odido.

Zolang je dat niet kan bewijzen, heb je wettelijk geen poot om op te staan. Moet je Odido niet de schuld van geven, dat is gewoon hoe de wet werkt.
Reageer
THETCR @Mathijs Kok15 februari 2026 14:13
Dat is leuk, maar de bewijslast ligt dan ook bij Odido. Niet bij de individu.
Reageer
Crusader @THETCR16 februari 2026 11:43
Wie eist bewijst.
Reageer
THETCR @Crusader16 februari 2026 15:56
Dit is een waardeloze niks zeggende uitspraak. Dankjewel voor het niks toevoegen.
Reageer
Crusader @THETCR16 februari 2026 17:08
Ik probeerde je duidelijk te maken dat als jij iets eist in een rechtszaak, dat jij met de bewijzen zult moeten komen, niet Odido.
Reageer
THETCR @Crusader16 februari 2026 19:07
Wanneer het gaat om het lekken van gegevens onder de AVG ligt de bewijslast bij de lekkende partij.
Reageer
anboni @Jimster15 februari 2026 11:01
Zelfs Odido weet niet van welke klanten de gegevens gelekt zijn
Hoezo zouden ze dat niet weten? Zoals ik het lees, hebben de aanvallers het klantsysteem gescraped via gephishte medewerker accounts. Dan zou het een koud kunstje moeten zijn om in de audit logs na te gaan welke klantrecords die medewerkers hebben opgevraagd. Nog een klein stapje verder kun je ook naar patronen van opvraging kijken en medewerkers eruit vissen waarvan je nog niet eens wist dat ze gephisht zijn...
Reageer
Jimster @anboni15 februari 2026 22:39
Scraping dan ben je wel even bezig en valt al snel op (als Odido fatsoelijke alerts ingebouwd heeft).

In de mail van Odido zijn ze er zelf niet zeker van:
"Op basis van het onderzoek denken we dat jouw gegevens mogelijk zijn geraakt."
Reageer
anboni @Jimster15 februari 2026 23:29
Er zit een PR afdeling tussen die damage control als top prioriteit heeft. Natuurlijk geven die geen zekerheid...
Reageer
DdeM @Jimster15 februari 2026 11:31
Odido weet wel van wie er gegevens zijn gelekt dat hebben ze eerst uitgezocht, daarom dat ze pas vanaf deze week mail stuurde naar alle mensen van wie er gegegevens gelekt zijn.
Reageer
Jimster @DdeM15 februari 2026 22:38
In de mail staat:

"Op basis van het onderzoek denken we dat jouw gegevens mogelijk zijn geraakt."
Reageer
DdeM @Jimster16 februari 2026 10:01
Klanten die betrokken zijn bij het datalek, krijgen een e-mail of sms van de provider.
nieuws: Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij c...
https://newsroom.odido.nl...klanten-over-cyberaanval/
Reageer
pa2ra @DdeM15 februari 2026 23:31
Dus je krijgt twee mails?
Reageer
Zwaai Haai @Jimster15 februari 2026 14:19
Veel tweakers hebben een eigen domein voor e-mail en veel e-mail adressen. Dus schade door gebruik van persoonsgegevens inclusief 'mijnnaam.odido@mijneigenseregegistreerdedomein.nl' dan lijkt mij dat een redelijke aanwijzing dat het data is die van Odidio af komt.

Ik zeg niemand anders kende dat adres. Of het voldoende bewijs is, tja het is een aanwijzing. Want als ik een mail krijg dat er een abonnement ergens is afgesloten op 'Jimster@mijneigenseregegistreerdedomein.nl' wil niet zeggen dat Jimster mijn data heeft gelekt. Het wordt anders als je bundelt en er meerdere tweakers zijn die schade hebben met Odidio adressen.
Reageer
Scriptkid @Zwaai Haai15 februari 2026 18:23
Dus morgen is er een bank rekening geopend met jouw ID kaart en een Russisch mail address,


Hoe bewijs je dat jij het niet was en dat het van Odido datalek afkwam.?
Reageer
andries98 @Zwaai Haai15 februari 2026 19:39
Als hackers in hun script gewoon een scan bouwen die zoekt op de grote namen zoals bol, zalando, odido, kpn, ziggo ed. en als ze die tegenkomen ook (een) andere variant(en) proberen. Bewijs jij maar dat ze dat niet gedaan hebben! Dus je kan daarmee niet 100% bewijzen dat het odido was. Dan zal je dus ook nog een random nummer toe moeten voegen oid wil je bewijzen dat het lek echt door hun kwam. En zelfs dan kan jij zelf ook nog steeds het lek zijn door bijv opgeslagen emails of een gelekt wachtwoord.

[Reactie gewijzigd door andries98 op 15 februari 2026 19:40]

Reageer
AWitteveen @THETCR15 februari 2026 12:28
Bij doxing is ook de reden van openbaar maken belangrijk. Namelijk om iemand het leven zuur te maken. Dat is nooit de intentie van Dido geweest.
Reageer
THETCR @AWitteveen15 februari 2026 14:15
Dat noemen we een analogie. Juridisch gezien verlost het je niet van schuld wanneer je geen verkeerde intenties had.
Reageer
AWitteveen @THETCR15 februari 2026 15:59
Naar mijn mening niet een geslaagde analogie. Doxing en de situatie van Odido zijn compleet verschillend. Bij doxing verlost het je namelijk wel van schuld als je geen verkeerde intenties hebt. De intentie is wat het doxing maakt!

[Reactie gewijzigd door AWitteveen op 15 februari 2026 16:01]

Reageer
THETCR @AWitteveen16 februari 2026 09:44
Laat mij de juridische onderbouwing zien dat de intentie bij het openbaar maken van iemands persoonsgegevens het strafbaar maakt of niet.

Het punt staat nog steeds, je mag nooit iemand zijn privegegevens zoals adresgegevens vrijgeven.
Reageer
Marc050 @THETCR15 februari 2026 13:34
Dit is geen doxing, ze hebben zelf niets openbaar gemaakt.
Reageer
THETCR @Marc05015 februari 2026 14:17
Wat maakt het gebruik van een analogie zo lastig? Had ik het anders moeten verwoorden zodat het makkelijker was geweest om begrijpend te kunnen lezen?
Reageer
memphis @chrisboers15 februari 2026 11:04
Die schade komt later als je doodgegooid wordt met spam in je mailbox of 24/7 telefoontjes ontvangt van scammers en mensen die je terug bellen omdat ze een gemiste oproep met jouw nummer hebben gehad. Dat is erg vervelend kan ik je uit eigen ervaring zeggen.
Reageer
rko4u @memphis15 februari 2026 12:30
Maar toon eens aan dat dat komt door expliciet dit datalek. Dat is de reden waarom ik denk dat een bedrijf die zijn beveiliging van prive gegevens niet in orde heeft, daarvoor bij voorbaat een schadevergoeding moet betalen. Al is het alleen al om het soort onverschilligheid dat Odido hier toont te bestraffen. Ze doen hun verplichte mailing, maar ik voel totaal geen mea culpa.
Reageer
HansMij @rko4u15 februari 2026 18:38
Volledig eens. Als ze nu eens wettelijk vastleggen dat bijv. Lekken voornaam = 2 euro boete per gelekte klant. Achternaam nog eens 2 euro, email 2 euro, bsn 50 euro, etc. Dan hebben gaan die bedrijven ineens wel actief hun administratie schonen van overbodig geworden data. Die data laten staan is dan ineens een risico geworden.

Bij het niet melden van een datalek de boete vermenigvuldigen met 5. Het komt namelijk toch wel uit met die Tweakers die odido@eigendomein.tld als email gebruiken.

[Reactie gewijzigd door HansMij op 15 februari 2026 18:40]

Reageer
chrisboers @memphis15 februari 2026 13:08
'vervelend' is geen schade.
Reageer
Zwaai Haai @chrisboers15 februari 2026 14:23
Je loopt wel extra risico loopt op schade. maar ja dat is ook moeilijk in een schadeclaim te passen.

Zouden er dan niet boetes op datalekken op moeten staan, en op het niet melden van datalekken? Nu is de zaak afgedaan met "sorry, we vinden het ook heel vervelend" en wat imagoschade voor het bedrijf.
Reageer
bytemaster460 @Zwaai Haai15 februari 2026 15:13
Op het niet melden van datalekken staan feitelijk al boetes. Men moet het melden. Boetes op datalekken zelf wordt juridisch getouwtrek. Soms is het niet verwijtbaar, soms wel n het risico op de boetes wordt natuurlijk in de prijzen verdisconteerd. De schade die een bedrijf leidt door een datalek is vaak genoeg om het om de toekomst te voorkomen.
Reageer
chrisboers @Zwaai Haai15 februari 2026 22:37
Ja, ik zou dat heel graag zien, bij voorkeur een vast bedrag per klant, wat dan nog gedifferentieerd kan worden naar de gelekte data. Als dat bedrag hoog genoeg is, is het voor bedrijven tenminste interessant om enerzijns minder data op te slaan en dat korter te doen, en anderzijds een incentive om die data dan tenminste goed te beveiligen.
Reageer
theobril @memphis15 februari 2026 18:55
hele domme vraag van mij waarschijnlijk, maar kan jij of iemand mij uitleggen wat het verdienmodel is achter door een vreemde gebeld worden die zegt dat ikhem/haar net gebeld heb? En dat is dan altijd een heel redelijk iemand die accentloos Nederlands spreekt en dan hangen we gauw op. Het gebeurt mij 2 x per maand, ik overleef het wel, maar ik snap niet wie er wat mee opschiet. Soms krijg ik een kenner aan de lijn die zegt dat het gespoofed is. Verder krijg ik enkel wel eens een cassetjebandje dat mij in brak Engels vertelt dat mijn leven over is als ik niet dit of dat doe of overmaak. Daar snap ik het verdienmodel nog. Maar iemand laten opbellen met het gespoofde nummer van een ander, hoe pers je daar een euro uit?
Reageer
memphis @theobril15 februari 2026 20:24
Al die mensen die jouw misbruikte nummer terugbellen is een bijwerking van scammers die met gemak meerdere nummers tegelijk bellen en in gesprek gaan met de 1e die opneemt. Daar ligt het verdienmodel met een hele nare bijwerking voor de werkelijke persoon wiens nummer bij de rest in die parallel belsessie van die poging een gemiste oproep heeft achtergelaten. Dat jij er 2 per maand krijgt wil niet zeggen dat het zo bij iedereen is, in hoogtij kreeg ik wel to 10 van die telefoontjes en kon wel enkele maanden duren, ook op ongemakkelijke momenten zoals midden in de nacht.
Reageer
theobril @memphis15 februari 2026 20:51
Dank voor de duidelijke uitleg. Collateral damage zoals dit zullen ze inderdaad niet van wakker liggen :(.
Reageer
oks @chrisboers17 februari 2026 17:50
Hoezo moet je het hard maken? Waar haal je het vandaan? Als het patroon is dat meerdere honderden klanten van odido hun geld afhandig wordt gemaakt hoef je als individu helemaal niets hard te maken. Het patroon is er. Dat is gewoon een toezichthouder die zijn data-scientists eindelijk eens een leuke klus geeft. Dergelijke ambtenaren hebben dan einderlijk eens het gevoel dat ze iets voor de samenleving aan het doen zijn en terecht hun geld verdienen.
Reageer
bzuidgeest @Thekilldevilhil15 februari 2026 13:46
Compensatie eisen voor schade die je nog niet hebt is dom zoals anderen al hebben uitgelegd.
Ik heb zelf odido aangemoedigd om hun klanten te verzekeren tegen identiteitsfraude. Als ze dat zouden doen voor een paar jaar dan is dat veel zinniger. Dus ik zou dat vragen.
Reageer
xxs @Thekilldevilhil15 februari 2026 12:19
Tot aan de rechter?
Reageer
donkerlicht @Thekilldevilhil16 februari 2026 10:17
Ik heb vier mails mogen ontvangen, 2 van nog actieve abonnementen en 2 van oude abonnementen. In hun mails communiceren ze dat ze twee jaar gegevens bewaren, maar mijn contract bijbehorend bij een mailadres is al vier jaar verlopen.

De goodwill bij mij is in ieder geval weg. Ze redeneren alles alleen om zich in te dekken, zonder goed in te schatten wat er bij hun klanten leeft. Ze hadden een datalek, maar alles werkte nog gewoon door. Ik had het liever andersom gezien. Een dag zonder internet heb ik liever dan dat mijn gegevens worden weggegeven.
Reageer
Recursio @mfkne15 februari 2026 10:08
Vraag is of een rechter deze clausule houdbaar acht.
Reageer
Mar9 @Recursio15 februari 2026 10:12
Waarom niet? Daarom altijd de voorwaarden lezen maar ja dat doet niemand dus eigenschuld.
Reageer
ShadLink @Mar915 februari 2026 10:21
Omdat voorwaarden niet boven de wet staan in Nederland. Heel simpel, Odido heeft de wet (AVG) overtreden en die wet schrijft voor wat er dan zou moeten gebeuren. Ze kunnen van alles in hun voorwaarden zetten, maar dat maakt het nog niet juist of legaal.
Reageer
WouterL @ShadLink15 februari 2026 11:04
Dat is wel een vrij voorbarige conclusie. Op basis waarvan stel je dat Odido de wet heeft overtreden?


Het enkele feit dat er sprake is van een datalek betekent namelijk niet automatisch dat de AVG is overtreden. Een organisatie is niet wettelijk verplicht om “waterdicht” te zijn: dat is in de praktijk ook onmogelijk.


Waar het juridisch om draait, is of de beveiliging passend was gelet op de stand van de techniek, de risico’s en de aard van de gegevens (artikel 32 AVG), en of aan eventuele meldplichten is voldaan.

Pas als uit onderzoek blijkt dat de beveiligingsmaatregelen onvoldoende waren of dat verplichtingen niet zijn nageleefd, kun je spreken van een overtreding. Het idee dat ieder datalek op zichzelf al een AVG-schending is, is een hardnekkig maar onjuist misverstand.

Het te lang bewaren van klantgegevens zou trouwens ook nog tot een overtreding kunnen leiden.

[Reactie gewijzigd door WouterL op 15 februari 2026 11:07]

Reageer
Inspired @WouterL16 februari 2026 07:24
Daar is zeker nog niet genoeg informatie voor en vergt verder onderzoek. Passend is natuurlijk ook heel subjectief. Op basis van de NOS lijkt het de eerder gebruikte “Salesforce Oauth app” route te zijn geweest. Met de “hulp” van interne medewerkers krijgen ze met een dataloader app via oauth toegang tot SFDC. Je kunt dan heerlijk je gang gaan en gegevens dumpen. Als dit inderdaad zo is, lijkt er sterk op, dan heeft de beveiliging (vind ik) tekortgeschoten. Odido had moeten weten dat dit een groot risico is. Er zijn meerdere van dit soort incidenten geweest in de laatste maanden. Ze hadden onbekende oauth apps niet toe moeten staan op de tenant. Ook het advies van SFDC sinds enige tijd. Verder zou ik het sowieso passend vinden dat een systeem waar miljoenen aan gevoelige persoonsgegevens in staan niet zomaar van buiten Odido netwerk benaderd kan worden. Of een extra maatregel dat een gebruiker niet zomaar meer dan x records kan raadplegen per dag.
Reageer
donkerlicht @WouterL16 februari 2026 10:22
Ze hebben de dataminimalisatie niet op orde. Er zijn gegevens gelekt die niet nodig zijn om een internetabonnement te kunnen leveren. Ook refereren ze in hun mails dat ze twee jaar data bewaren na het aflopen van een contract, maar dat is onjuist. Op 1 van de mails had ik gevraagd wat de einddatum was, maar die bleek al in november 2021 te liggen.
Reageer
HuisRocker @donkerlicht17 februari 2026 17:36
Klopt, de meeste bedrijven beloven de meest fantastische dingen v.w.b. data en beveiliging, er is echter maar zelden iets van waar... Want; er zijn immers toch nauwelijks tot geen gevolgen! So; lets just keep the lies going! }>
Reageer
ShadLink @WouterL15 februari 2026 13:35
Odido had zijn zaken niet op orde. Geen goede beveiliging van klantdata. En ja, de AVG/GDPR vereist dat heel netjes. Dit is niet te verdedigen. Odido moet keihard aangepakt worden! iig weet ik wel dat ik na mijn volgende verlenging geen klant meer van Odido ben.
Reageer
bzuidgeest @ShadLink15 februari 2026 13:50
Dat is gewoon niet waar denk ik. Er word nergens gesteld dat ze de beveiliging niet op orde hadden. Social engineering is bedoeld om te werken op bedrijven waar alles in orde is. Het gaat uit van menselijk falen. En daar helpt niets tegen.
Dus je gaat weg bij odido en dan lekken je gegevens nog een keer bij de volgende provider met een persoon die een fout maakt. Het idee dat verhuizen naar een andere provider je iets brengt behalve kosten is onzin..
Reageer
ShadLink @bzuidgeest15 februari 2026 13:54
Hoeveel aandelen van Odido heb je? Als ze door social engineering te hacken zijn dan hebben ze hun beveiliging NIET op orde. Punt.
Reageer
bzuidgeest @ShadLink15 februari 2026 13:57
0 aandelen punt. Als jij denkt dat je 100% kan wapenen tegen social engineering dan sta je los van de realiteit PUNT.

Waar mensen werken vallen spanen punt.
Wacht maar tot jij een keer een foutje maakt punt. Dan roep je ineens anders punt.
Reageer
simnet @bzuidgeest15 februari 2026 17:06
Het social engineering deel misschien niet, maar er zijn al jaren goede oplossingen die phishing onmogelijk maken.
Een goed toegangsbeleid is echt niet moeilijk. Je moet alleen weten waar je het over hebt. En laat nou net dat een issue zijn bij het gros van de security architecten/beleidsmakers.
Reageer
bzuidgeest @simnet15 februari 2026 17:13
Ofwel je krijgt het nooit 100%. Je maakt zelfs in je repliek al weer een uitzondering.


Ik geloof zelfs niet dat je phishing totaal onmogelijk kan maken. Je kan de aanval op zijn hoogst moeilijker maken. Wat als de phisher zich binnen in het bedrijf bevind bijvoorbeeld? Infiltratie. Je kan het zo gek niet bedenken. Als ze maar iets van waarde denken te kunnen vinden. Al moeten ze de data met pen en potlood maar buiten krijgen.


Ik denk dat beveiliging net als quantum mechanica is. Als je beweert dat je het 100% veilig kan maken of dat een aanval onmogelijk is, dan heb je er niets van begrepen😂

Maak een bezoekje aan een hacker conferentie en dan zie je wat voor gestoorde ingewikkelde methoden ze kunnen verzinnen en dan toch gehackt, gecracked worden.
Reageer
simnet @bzuidgeest15 februari 2026 19:11
De middelen zijn er al heel lang. Zelf voor wachtwoord phishing bestaatthet al jaren.

Social engineering bestaat. Daarom moet een medewerker daartegen beschermt worden met technische middelen die er al jaren zijn. Dan kun je engineeren wat je wil; maar dan het je er niets aan.

Je denkt dat beveiliging net als quantum mechanica is? Je hebt duidelijk geen idee waar je het over hebt.

Ik vraag me oprecht af waarom je voor een post als deze beloont wordt, terwijl je alleen maar aannames en klikbait texten roept. Als je er niet van af weet moet je geen onzin praten, noch met texten zoals 'quantum mechanica' of 'hacker conferenties' gooien.
Reageer
simnet @bzuidgeest16 februari 2026 14:44
Ja, ik besef me dat ik er naast kan zitten. Digitale beveiliging en cryptografie is namelijk mijn werk. Maar ik weet ook wel waar ik het over heb.

Het is leuk dat je een CCC kent. Maar als je het niet weet, loop dan niet te roepen over 'quantum mechanica' of hacker conferenties, of iets vergelijkbaars. Dan zet je jezelf echt te kijk.
Reageer
HuisRocker @bzuidgeest16 februari 2026 20:03
tot jij een keer een foutje maakt
Odido gaat er net zo makkelijk mee om als jij (Oeps, foutje! En weer door...). Bij dit soort dingen die voor zoveel mensen (ernstige!) gevolgen gaan hebben is het een feit dat er geen sprake kan zijn van "een foutje".

Ook bij Odido weet men inmiddels echt wel hoe gevoelig het menselijke aspect in de keten van beveiliging is! Juist daarom is het, na de vele voorbeelden van andere falende grote bedrijven/instanties, al een tijdje niet acceptabel meer om net te doen 'alsof dit erbij hoort' en 'alsof Odido er (meer dan) genoeg aan gedaan heeft om dit te voorkomen'. Odido's (en al die andere bedrijven) mindset en (daardoor) omgang met beveiliging van data is waar het helemaal fout gaat. Odido zegt alleen maar 'het serieus te nemen' maar doet het veel minder serieus.


Dat (we zeggen A maar doen B) is waarom hackers inmiddels waarschijnlijk meer data over/van ons hebben dan 'wijzelf plus Meta, Microsoft en Google bijelkaar'. ;)
Reageer
bzuidgeest @HuisRocker17 februari 2026 10:42
Je kan wel boos doen, maar je hebt geen oplossing. Niemand heeft die.


Ik zie meer in odido (en anderen) verplicht een verzekering tegen identiteitsfraude laten aanbieden bij incidenten. Incidenten kan je nooit 100% voorkomen, maar je kan het wel gevolgen geven voor het bedrijf en de klant indekken zodat die altijd schadeloos is.
Reageer
bytemaster460 @ShadLink15 februari 2026 15:17
Beginnen over aandelen als een ander het niet met je eens is is een enorm zwaktebod in een discussie. Alsof alleen jouw zienswijze relevant is en alle andere een commercieel belang hebben.

In dit geval heeft @bzuidgeest gewoon gelijk. Een medewerker die al dan niet bewust zijn boekje te buiten gaat betekent nog niet dat een bedrijf de beveiliging niet op orde heeft.
Reageer
simnet @bytemaster46015 februari 2026 17:09
Absoluut oneens. Medewerkers moeten tegen zichzelf beschermt worden.
Als je dat als bedrijf nalaat, heb je je beveiliging niet op orde.

Als je niet weet dat er (eenvoudige) technische mogelijkheden bestaan om medewerkers tegen zichzelf te beschermen, dan hoor je niet thuis in de (digitale) beveiliging.
Reageer
bytemaster460 @simnet15 februari 2026 22:44
Klinkt theoretisch mooi maar heeft niets te maken met tegen zichzelf in bescherming nemen. Als iemand gewoon telefonisch een wachtwoord doorgeeft of een 2fa tijdelijk uitzet houd je dat niet tegen. Als je alle risico’s wil elimineren kun je je werk niet meer doen.
Reageer
simnet @bytemaster46015 februari 2026 23:36
Laat ik je dan in ieder geval meegeven dat de twee voorbeelden die je hier noemt zeer eenvoudig te voorkomen zijn zonder de medewerker een strobreed in de weg te zitten

Andere maatregelen zijn wel wat ingrijpender, maar hebben over het algemeen ook weer oplossingen om het ongemak te verzachten of te vermijden. De oplossingen zijn er, je moet ze alleen wel weten (en implementeren) en dat schort er bij veel bedrijven aan. Bij de bakker op de hoek valt dat volledig te begrijpen, ze zijn immers niet kosteloos, maar voor een partij als Odido met zulke gevoelige gegevens is het eigenlijk niet goed te praten dat dit is gebeurd.
Reageer
bytemaster460 @simnet16 februari 2026 09:32
Het is altijd een achterhoedegevecht. Ik werk zelf in een ziekenhuis waar de IT-afdeling er alles aan doet om dit soort dingen te voorkomen maar uiteindelijk blijft het een compromis tussen werkbaarheid, fysieke veiligheid en risico’s voor de patiënt en veiligheid van IT-systemen. Het is een utopie om te denken dat je stommiteiten van werknemers ten aanzien van beveiliging altijd voor kan zijn.
Reageer
HuisRocker @bytemaster46017 februari 2026 17:14
Een bedrijf met medewerkers die 'boekjes te buiten gaan' op het gebied van beveiliging heeft de beveiliging dus automatisch NIET op orde... Medewerkers zijn immers DEEL van dat bedrijf!

Het grenzeloze gebagatelliseer van types zoals jij en bzuidgeest (echt goede beveiliging is onmogelijk, want; menselijke factor) zou grappig kunnen zijn, als het niet zo triest was...

Als vliegtuigonderhoud net zo 'serieus' gedaan zou worden als de beveiliging bij Odido zou neerstorten letterlijk onmogelijk geworden zijn! Simpelweg omdat geen enkel vliegtuig überhaupt nog zou kunnen opstijgen... :+

De werkelijkheid is dat het menselijke deel van de beveiliging altijd een 'papieren tijger' is waar niemand zich ECHT wat van zal aantrekken omdat er uiteindelijk telkens geen ECHT grote gevolgen voor de opzichtig blunderende bedrijven en medewerkers zijn.

Als een vliegtuig neerstort vanwege een fout die jij gemaakt hebt kom je daar ZEKER NIET ongeschonden mee weg, dat is DE reden dat vliegtuigen het meest veilige vervoersmiddel per afgelegde afstand van letterlijk alle vervoersmiddelen zijn. Goh, hoe is het mogelijk hé...?
Reageer
bytemaster460 @HuisRocker17 februari 2026 20:39
Een bedrijf met medewerkers die 'boekjes te buiten gaan' op het gebied van beveiliging heeft de beveiliging dus automatisch NIET op orde... Medewerkers zijn immers DEEL van dat bedrijf!
Maar zo werkt het natuurlijk in de praktijk niet. Geen enkel bedrijf kan afdwingen dat iedereen zich exact aan de regels houdt. Dat kan geëist worden maar het is nooit te controleren. Het is een utopie. Het bedrijf is verantwoordelijk voor het handelen van de medewerkers maar bij de beoordeling of het bedrijf verwijtbaar steken heeft laten vallen is een medewerker die tegen de regels heeft gehandeld toch echt wat anders dan servers niet patchen of je procedures niet op orde hebben.
Reageer
HuisRocker @bytemaster46018 februari 2026 12:43
Misschien eens een realisme check bij jezelf doen over 'de praktijk'... Je punt is 'ze doen er alles aan maar je kunt nooit alles voorkomen' (lees; en dus is het wel OK zo) maar van die gedachtengang klopt he-le-maal niets, het is 'naïviteit ten top / struisvogeltje spelen'.

Odido heeft (letterlijk vanaf dag 1 van hun bestaan) beveiliging, ongeacht of het gaat om wetten, regels of hun eigen voorwaarden, nooit serieus genomen.

Regel 1 bij beveiliging van data - Wat er niet is kan ook niet gehackt worden!

En ja hoor... Zelfs aan regel 1 had men compleet lak bij Odido. Van mensen die nooit klant bij Odido zijn geweest (en ook al jaren bij T-Mobile of Tele2 weg zijn) zijn de gegevens op straat beland ondanks dat Odido 'heel standvastig' vast bleef houden dat die gegevens "maximaal 2 jaar bewaard worden". Leugens...

Tweaker @thefal schreef: "Nog mooier: ik ben nooit lid geweest van Odido. Ik ben al jaaaaren weg bij T-Mobile. Ik heb ook al lang geleden mijn account daar verwijderd. Toch zijn mijn gegevens blijkbaar gelekt.

Om mijn gegevens nu op te vragen of te laten verwijderen moet ik nu eerst een account aanmaken en dan opzoeken wat jaren geleden mijn laatste T-Mobile afschrift was? Belachelijk."

Tweakers @elsinga , @EmilioC en @don spike onderschrijven dat ze in precies hetzelfde schuitje zitten als thefal.

Over "het bedrijf is verantwoordelijk voor het handelen van de (voor MFA verantwoordelijke) medewerkers" hoeven we v.w.b. beveiliging toch echt pas te hebben HEEL VER nadat 'de basis op orde is'. Odido heeft, met 100% zekerheid bewezen, NIETS aan de absolute basis gedaan... Waar hebben we het dan eigenlijk nog over?

Het 'niet (meer) kunnen omgaan met een realiteit die te pijnlijk is om onder ogen te zien' is zeer waarschijnlijk deel van wat er hier allemaal speelt...
Reageer
bytemaster460 @HuisRocker18 februari 2026 15:55
Je hebt het over verschillende dingen. De bewaartermijn heeft niets te maken met beveiligingsbeleid. Het ging hierboven over de beveiliging op orde hebben niet over het wel of niet voldoen aan de AVG of archiefwet. Je kunt de beveiliging helemaal op orde hebben maar als een medewerker zich niet aan de protocollen houdt, ben je nergens.
Reageer
HuisRocker @bytemaster46018 februari 2026 20:04
Vooral niet ingaan op het pijnlijke complete falen van Odido in alle opzichten en gewoon je blinddoek nog wat strakker doen, duidelijk... |:(
Reageer
WouterL @ShadLink15 februari 2026 14:15
Dan weet jij meer dan wij. Ik hoor graag je diepgaande analyse over de oorzaak van het lek:-)
Reageer
bytemaster460 @ShadLink15 februari 2026 15:22
De AVG gaat over de verwerking van persoonsgegevens en de toestemming. De AVG geeft niet aan wat er moet gebeuren na een overtreding. Dat is aan de rechter.

Voorwaarden gaan inderdaad niet boven de wet maar er is wel veel mogelijk via de voorwaarden.
Reageer
WouterL @bytemaster46015 februari 2026 16:02
Dat klopt niet helemaal. In dit geval is het aan de toezichthouder om daarover te oordelen. De rechter komt pas in beeld wanneer het gaat om een eventuele schadevergoeding. Bovendien kent de AVG expliciete boetebandbreedtes voor overtredingen.

[Reactie gewijzigd door WouterL op 15 februari 2026 16:04]

Reageer
bytemaster460 @WouterL15 februari 2026 22:42
Ja maar hierboven ging het toch ook over de clausules over een schadevergoeding?
Reageer
THETCR @Mar915 februari 2026 10:21
Clausules mogen nooit conflicteren met de wet, zo ook niet omtrent wat een "billijke vergoeding" is.
Reageer
sniker @Mar915 februari 2026 10:27
Dat iets in de voorwaarden staat maakt het nog niet rechtsgeldig. De wet gaat altijd boven voorwaarden. Onredelijk bezwarende of onwettigge claisules worden met regelmaat door de rechter ongeldig verklaard.
Reageer
Scriptkid @Mar915 februari 2026 18:25
En als je het niet eens bent wat dan.


Dan maar geen mobiel?
Reageer
lama83 @mfkne15 februari 2026 13:28
Straks heb jij er werk van als iemand zich voordoet als jou bij een andere dienstverlener; hackers die voor de lol even wat abonnementen aanpassen op basis van de controlevragen die ze perfect kunnen beantwoorden op basis van de gelekte info. Zie je ineens allerlei acceptgiro's op je bankrekening voorbijkomen, en als je niet oplet zit je aan iets vast met de nodige kosten.
Reageer
aikebah @lama8315 februari 2026 17:50
Zie je ineens allerlei acceptgiro's op je bankrekening voorbijkomen
Nee hoor, want acceptgiros zijn al een tijdje uitgefaseerd (per 1 juni 2023)
Reageer
lama83 @aikebah16 februari 2026 17:38
Automatische incassco's bedoelde ik.
Reageer
Scriptkid @lama8315 februari 2026 18:26
Alle gelekte info zou geen security van jouw moeten zijn. Anders heb je verkeerde security want bijna alles wat gelekt is is wel te vinden.
Reageer
William_H @Scriptkid16 februari 2026 02:57
Daar heb jij helaas niks over te zeggen. Ziekenhuis die controlevragen stellen na aanleiding van een telefoontje, wat denk je dat ze vragen? Geboortedatum, postcode, huisnummer. Meer niet.
Jij gaat niet over de controlevragen van instanties en bedrijven. Dat verzinnen die instellingen zelf. Dat het geen echte beveiligingsvragen zijn, dat weten jij en ik. Maar kunnen wij daar wat aan doen? Helaas niet.
Reageer
Scriptkid @William_H16 februari 2026 09:44
en juist AL DIE data ligt al lang op straat of is met paar social enginering telefoontjes al bij elkaar te harken,

Dat is precies wat ik bedoel, dat zijn geen security vraag stukken dat is algemene kennis en beetje social engineeren.
Reageer
retrial_0k @mfkne15 februari 2026 13:40
Hier relevant de leden b, d, en f:
6:237 BW

Bij een overeenkomst tussen een gebruiker en een wederpartij, natuurlijk persoon, die niet handelt in de uitoefening van een beroep of bedrijf, wordt vermoed onredelijk bezwarend te zijn een in de algemene voorwaarden voorkomend beding

a. dat de gebruiker een, gelet op de omstandigheden van het geval, ongebruikelijk lange of onvoldoende bepaalde termijn geeft om op een aanbod of een andere verklaring van de wederpartij te reageren;

b. dat de inhoud van de verplichtingen van de gebruiker wezenlijk beperkt ten opzichte van hetgeen de wederpartij, mede gelet op de wettelijke regels die op de overeenkomst betrekking hebben, zonder dat beding redelijkerwijs mocht verwachten;

c. dat de gebruiker de bevoegdheid verleent een prestatie te verschaffen die wezenlijk van de toegezegde prestatie afwijkt, tenzij de wederpartij bevoegd is in dat geval de overeenkomst te ontbinden;

d. dat de gebruiker van zijn gebondenheid aan de overeenkomst bevrijdt of hem de bevoegdheid daartoe geeft anders dan op in de overeenkomst vermelde gronden welke van dien aard zijn dat deze gebondenheid niet meer van hem kan worden gevergd;

e. dat de gebruiker een ongebruikelijk lange of onvoldoende bepaalde termijn voor de nakoming geeft;

f. dat de gebruiker of een derde geheel of ten dele bevrijdt van een wettelijke verplichting tot schadevergoeding;

g. dat een de wederpartij volgens de wet toekomende bevoegdheid tot verrekening uitsluit of beperkt of de gebruiker een verdergaande bevoegdheid tot verrekening verleent dan hem volgens de wet toekomt;

h. dat als sanctie op bepaalde gedragingen van de wederpartij, nalaten daaronder begrepen, verval stelt van haar toekomende rechten of van de bevoegdheid bepaalde verweren te voeren, behoudens voor zover deze gedragingen het verval van die rechten of verweren rechtvaardigen;

i. dat voor het geval de overeenkomst wordt beëindigd anders dan op grond van het feit dat de wederpartij in de nakoming van haar verbintenis is tekort geschoten, de wederpartij verplicht een geldsom te betalen, behoudens voor zover het betreft een redelijke vergoeding voor door de gebruiker geleden verlies of gederfde winst;

j. dat de wederpartij verplicht tot het sluiten van een overeenkomst met de gebruiker of met een derde, tenzij dit, mede gelet op het verband van die overeenkomst met de in dit artikel bedoelde overeenkomst, redelijkerwijze van de wederpartij kan worden gevergd;

k. dat voor een overeenkomst als bedoeld in artikel 236 onder j of p respectievelijk q een duur bepaalt van meer dan een jaar, tenzij de wederpartij na een jaar de bevoegdheid heeft de overeenkomst te allen tijde op te zeggen met een opzegtermijn van ten hoogste een maand;

l. dat de wederpartij aan een opzegtermijn bindt die langer is dan de termijn waarop de gebruiker de overeenkomst kan opzeggen;

m. dat voor de geldigheid van een door de wederpartij te verrichten verklaring een strengere vorm dan het vereiste van een onderhandse akte stelt;

n. dat bepaalt dat een door de wederpartij verleende volmacht onherroepelijk is of niet eindigt door haar dood of ondercuratelestelling, tenzij de volmacht strekt tot levering van een registergoed;

o. dat de wederpartij bij overeenkomsten, niet zijnde verlengde, vernieuwde of voortgezette overeenkomsten als bedoeld in artikel 236, onder j of p respectievelijk q, aan een opzegtermijn bindt die langer is dan een maand.
Reageer
Kun001 @mfkne15 februari 2026 20:14
6,2 miljoen x €100 = €620 miljoen.


Odido omzet: €2,3 miljard

Dat is zelfmoord voor Odido.
Reageer
HakanX @mfkne15 februari 2026 22:53
Odido beperkt zijn verantwoordelijkheid in de algemene voorwaarden tot maximaal 500 EUR per klant per gebeurtenis maar maximaal 225.000 EUR bij meerdere getroffen klanten.

Aangezien er sprake is van 6,2 miljoen klanten heeft iedereen dus maximaal recht op 3 cent compensatie.


Bron: Artikel 12 uit https://assets.odido.nl/x/5beeab7baf/20241014-algemene-voorwaarden-abonnee-consument.pdf
Ik beperk hierbij mijn verantwoordelijkheid bij door rood rijden tot een maximale boete van 50 EUR per keer per overheid, met een maximaal van één gebeurtenis per jaar, waarbij de eerste keer enkel een waarschuwing gegeven mag worden.

Tevens identificeer ik mijzelf als een fiets zonder kenteken.

Groetjes aan Odido die hier meeleest, zo idioot klinken jullie!
Reageer
Walker1974 @mfkne16 februari 2026 14:21
Uit dezelfde voorwaarden:

De aansprakelijkheidsbeperkingen van dit artikel gelden niet wanneer de schade is veroorzaakt door opzet of grove schuld van leidinggevend personeel van Odido
Reageer
ro8in 15 februari 2026 09:52
Er zou echt een wet moeten komen voor dit dat je per defintie automatisch wel recht hebt op compensatie. Providers hanteren bijna gevoeligere gegevens dan banken zelf en toch gooien ze elke keer weer er met de pet naar. Er wordt gewoon gerommeld en het intresseert ze totaal niets. Het is niet de eerste keer en of de laatste keer dat dit gebeurt. Ik ben er wel een beetje klaar mee. En ja je kan er 100 procent garantie op hebben dat de komende tijd je weer gebombadeerd gaat worden met rare mails, telefoontjes en smsjes. En je moet maar gewoon beter opletten vind Odido. Wel prachtig hoe een bedrijf jou even gaat vertellen dat je beter moet opletten wie zojuist net alle gegevens heeft laten lekken. Het is te belachelijk voor woorden. Laat die aandeelhouders maar even in hun zakken graaien eens een keer, ja jammer voor ze, maar dat is het risico van investeren in bedrijven.
Reageer
The Chosen One @ro8in15 februari 2026 10:23
Kosten vergoeden van aanvragen nieuw paspoort etc.
Reageer
Sleurhutje @The Chosen One15 februari 2026 10:33
Waarom een nieuw paspoort/ID-kaart? Ze hebben alleen het nummer van het paspoort/de ID-kaart. Daar kun je niets mee. Ze hebben geen BSN en geen foto, die zijn afgeschermd bij het maken van de kopie. Ze hebben ook adres gegevens, dus ook maar een ander huis?
Reageer
provista30 @Sleurhutje15 februari 2026 11:15
Ze hebben helemaal het paspoort of ID kaart nummer niet buit gemaakt en WEL het BSN. Dus geen informatie geven hier als je niet weet waar je over praat. Je creëert alleen maar onrust hiermee.


Om welke informatie gaat het?

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
Wat niet is gelekt:
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
  • Je wachtwoord van ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Reageer
Sleurhutje @provista3015 februari 2026 11:49
Het nummer van je identificatiebewijs is iest anders dan je BSN. Elk identitetsbewijs heeft ook een nummer, een combinatie van diverse gegevens en controlegetallen wat uiteindelijk het nummer oplevert. Dat nummer is waardeloos om iets mee te kunnen doen, maar Odido of welke andere partij dan ook kan bij geschillen wel aantonen dat jij je gelegitemeerd hebt.
Reageer
echtwaar? @Sleurhutje16 februari 2026 05:11
Dat nummer bepaalt wel of hij naar voren komt als vermist en dus onbruikbaar is.
Reageer
Tweakez @provista3015 februari 2026 11:21
En ik heb een mail ontvangen dat identificatiegegevens dus WEL onder het "wat is gelekt" valt. Dus ze hebben zelfs in kaart welke groep wel en welke groep niet :)
Reageer
provista30 @Tweakez15 februari 2026 12:23
Ja zo zie je maar. Ze geven dus elke klant andere info. Lekker duidelijk.
Reageer
Uniciteit @provista3015 februari 2026 12:43
Het overzicht dat je krijgt is persoonlijk op jouw situatie. In jouw geval is dat dus niet gelekt. Voor veel andere klanten geldt dat het wel is gelekt.
Reageer
NoepZor @provista3015 februari 2026 21:52
Ligt denk ik aan het feit of je een mobiele klant bent of een vast internet klant. Bij mobiele abonnementen is het vaak gebruikelijk om een legitimatie te overleggen.
Reageer
marsian @provista3015 februari 2026 11:24
Dat is per persoon verschillend, in mijn mail stond:

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Wat niet is gelekt:
  • Je wachtwoord van ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Reageer
badillus @provista3015 februari 2026 11:36
odido spreekt zichzelf tegen...

op hun website odido/veiligheid staat juist dat "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" WEL gelekt zijn.
Reageer
pa2ra @badillus15 februari 2026 23:38
Mogelijk niet bij iedereen?
Reageer
knakworst @provista3015 februari 2026 11:58
Dat is mooi maar bij mij staat identiteitsgegevens in lijstje WEL gelekt. Telecomprovider heeft overigens plicht om dat vast te stellen bij afsluiten abonnement. IDIN zou eigenlijk voldoende moeten zijn dan kan provider de gegevens ook niet lekken.
Reageer
Hakker @knakworst15 februari 2026 14:18
Nee ze zijn het verplicht bij een abonnement op een mobiele telefoon (dat valt onder krediet) maar dat geldt dus niet voor een abonnement.
Reageer
stresstak @knakworst15 februari 2026 19:21
Dat is mooi maar bij mij staat identiteitsgegevens in lijstje WEL gelekt.


Staat dat er letterlijk ? WEL gelekt, of 'mogelijk gelekt' zoals ik hier in de voorbeelden zie staan.
Reageer
HeelErgEdwin @provista3015 februari 2026 11:22
Bij sommige mensen wel.
Reageer
lama83 @provista3015 februari 2026 13:32
Genoeg info om je als een ander voor te doen bij een andere dienstverlener, en even een abonnementaanpassing te doen met controlevragen die je perfect kan beantwoorden.
Reageer
Orangelights23 @provista3015 februari 2026 19:21
Met alleen een BSN kun je vrij weinig. Er zijn merr informatiepunten nodig om zaken af te sluiten, waaronder digitale handtekeningen (DigiD) of hardcopy identiteitsbewijzen.
Reageer
provista30 @Orangelights2316 februari 2026 00:52
Het is niet alleen een BSN het is daarnaast veel meer. Hier kan zeker wel identiteitsfraude meegedaan worden.
Reageer
Orangelights23 @provista3016 februari 2026 08:43
Lees even mijn bericht: er is veel meer informatie benodigd dan nu gelekt is om daadwerkelijk contracten af te sluiten.

Sterker nog, in vele landen in Europa is het nationale BSN een openbaar gegeven. Mensen in Nederland moeten onthouden dat het nummer zelf geen enkele waarde heeft, ook niet in combinatie met de verdere gelekte gegevens.
Reageer
Rogers @Sleurhutje15 februari 2026 11:11
Voor zo ver ik weet is er niks afgeschermd bij de Mediamarkt toen ze de kopie maakte van mijn ID.
Reageer
HKLM_ @Rogers15 februari 2026 11:14
Waarom maakt de Mediamarkt een kopie van je ID?
Reageer
Rogers @HKLM_15 februari 2026 11:29
Dat is een vereiste van Odido voor het afsluiten van een mobiel abbonement.
Reageer
Jensw19 @Rogers15 februari 2026 11:34
Nee, alleen documentnummer en geldigheidsdatum, niet je hele ID kaart, in dit geval vind ik het slecht van MediaMarkt..
Reageer
robertwebbe @Jensw1915 februari 2026 11:44
Ze hebben daar van die privacy mallen voor. Daar doe je de id in en worden bepaalde zaken zwart afgedekt. Die zouden ze standaard moeten gebruiken. Maar ja, misschien was die even kwijt op die dag.
Reageer
Rogers @robertwebbe15 februari 2026 11:47
Die hebben ze niet gebruikt.
Reageer
xxs @Rogers15 februari 2026 11:59
Dan moet je zelf volgende keer daar wat alerter op zijn.

Ik ben in Italië een keer van een camping vertrokken omdat ze een kopie van mijn ID wilde maken. Een sticker over het BSN nummer accepteerde ze niet.

Ciao ciao.
Reageer
wooha @xxs15 februari 2026 15:12
In Nederland werkt dat en blijkbaar in Italië ook als je nog een alternatief hebt.

Hoe werkt dat als een land wettelijk vereist dat het BSN of soortgelijk nummer wel moet worden opgeslagen? In mijn geval: waar ging ik een slaapplek vinden in een Spaans hotel zonder dit toe te staan?

Online had ik misschien nog onzin of “niet van toepassing” kunnen proberen in te vullen, of in beide verplichte velden hetzelfde documentnummer omdat ik het niet snap of me vergis. Ik weet eigenlijk niet hoe streng de sanity checks daarop waren bij de tussenpartijen.
Reageer
xxs @wooha15 februari 2026 15:18
https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken

Niet iedereen mag zomaar je BSN nummer verwerken.


Last but not least, je hebt altijd een keuze maar dat is niet altijd eenvoudig.
Reageer
wooha @xxs15 februari 2026 15:53
Dat is Nederlandse wetgeving. Bestaat er Europese of Spaanse wetgeving die afdwingt dat Spaanse hotels zich hier ook aan houden?
Reageer
xxs @wooha15 februari 2026 16:15
Wat moet en Spaans hotel met jouw BSN?

Niks, nada, noppes.
Reageer
wooha @xxs15 februari 2026 22:56
Geen idee. Alleen zonder die af te geven kom ik Spaanse hotels niet binnen.
Reageer
bzuidgeest @Rogers15 februari 2026 13:53
Die privacy mal, zit in de software. Dat is minder werk voor de werknemer. Als ze werkelijk teveel scannen zetten ze de deur open voor een enorme boete bij de eerste klacht. De meeste bedrijven zijn zo stom niet.
Reageer
Rogers @Jensw1915 februari 2026 11:39
Ze maken een foto van het ID voor het systeem van Odido.
Reageer
Sleurhutje @Rogers15 februari 2026 11:45
Als het goed is dan schermen ze foto en BSN af, en laten ze je dat ook zien op het scherm. Dat is in ieder geval de procedure. Er is geen enkele reden om alle gegevens te kopiëren en je zou dat ook moeten weigeren.
Reageer
Clu3M0r3 @Jensw1915 februari 2026 13:45
Nope, toen ik in een Odido winkel een Klik-en-Klaar abo afsloot, werd er een kopie van de voorzijde van m'n rijbewijs gemaakt. Gelukkig niet van de achterzijde, waar het BSN staat. Blij dat ik geen paspoort of ID -kaart daarvoor heb gebruikt. Rijbewijs laat ik overigens binnenkort (naar aanleiding van dit datalek) wel vervangen.

[Reactie gewijzigd door Clu3M0r3 op 15 februari 2026 14:52]

Reageer
stresstak @Clu3M0r315 februari 2026 19:17
Nope, toen ik in een Odido winkel een Klik-en-Klaar abo afsloot, werd er een kopie van de voorzijde van m'n rijbewijs gemaakt. Gelukkig niet van de achterzijde, waar het BSN staat. Blij dat ik geen paspoort of ID -kaart daarvoor heb gebruikt.

Mijn BSN staat op de achterzijde van mn ID-kaartje, rechtsboven.
Reageer
Clu3M0r3 @stresstak15 februari 2026 19:38
Aha, dat wist ik weer niet, heb rijbewijs/paspoort. Bij paspoort is BSN pontificaal aanwezig op de zijde waar ook de rest van je persoonsgegevens staan.

[Reactie gewijzigd door Clu3M0r3 op 15 februari 2026 19:53]

Reageer
echtwaar? @Clu3M0r316 februari 2026 05:09
Niet meer bij nieuwe paspoorten
Reageer
Clu3M0r3 @echtwaar?16 februari 2026 09:13
Niet meer bij nieuwe paspoorten
Klopt, die van na 30 september 2024 hebben geen BSN aan de voorkant. Alle daarvoor uitgegeven paspoorten wel. Mooi voorbeeld van hoe de Nederlandse Staat lange tijd omging met privacy gevoelige gegevens....
Reageer
HKLM_ @Rogers15 februari 2026 12:03
You sure? Ik heb laatst online een abonnement afgelopen bij Odido en een copy hebben ze niet gehad. Wel het document nummer en de vervaldatum.
Reageer
lama83 @Rogers15 februari 2026 13:29
Je kan zo'n afschermkapje kopen bij de ANWB.
Reageer
The Chosen One @Sleurhutje15 februari 2026 10:34
Gaat over algemeen, niet perse dit geval. En logischerwijs is een paspoort vervangen praktischer dan een huis. En is ook makkelijker te misbruiken. En een huisadres kunnen ze in theorie zonder datalek ook al gebruiken.

[Reactie gewijzigd door The Chosen One op 15 februari 2026 10:35]

Reageer
nnndoh @Sleurhutje15 februari 2026 11:20
BSN nummer staat op ieder blauw envelope die je ontvangt. die zouden ze ook kunnen onderscheppen met jouw adres
Reageer
Clu3M0r3 @nnndoh15 februari 2026 14:54
Onzin, het BSN staat niet op de blauwe enveloppe, maar wel op de brief die erin zit.
Reageer
Scriptkid @Sleurhutje15 februari 2026 18:28
Kan je dan ook meteen een andere vrouw nemen, want tja ze hebben mijn achternaam,


Eindelijk een Goede reden igg 🤣
Reageer
Jerie
@The Chosen One15 februari 2026 11:03
Goed punt dat ga ik binnenkort doen. Ik moet mijn paspoort toch eind dit jaar vervangen. Dat kan ik nu wel wat vooruit schuiven. Binnenkort naar de kapper!
Reageer
karma4 @The Chosen One15 februari 2026 14:28
Als je een nieuwe paspoort nodig zou hebben is er veel meer wonderlijks echt fout.

Je zegt dat degene die een verwerking doet zomaar wat nummers in een systeem gooit en als het systeem dat accepteert dat het dan wel goed is.
Laat nu de wettelijke eis zij dat de verwerker deugdelijk en proportioneel moet vaststellen dat het om de juiste persoon gaat en de betreffende persoon moet vaststellen dat het om de juiste organisatie gaat.


De verhalen met een nigeriaanse prins voor de miljoenen, de helpdesk medewerker met de eist van toegang tot de computer de bankmedewerker met de kluisrekening en politieagent met veilig stellen van waardevolle spullen zijn intussen wat oudbakken. Dat mensen erin trappen dat gebeurt dat deze oplichters beschermd worden omdat anders de privacy van oplichters geschonden wordt is verbazend verontrusten en tenenkrommend. Faciliteren van oplichting omdat privacy heilig zou zijn.

Aangezien de facilitieren van oplichting door de AP en privacu-activisten veroorzaakt wordt moeten we die eens flink in de buidel laten tasten voor de ellende die ze veroorzaken.

Wat is er zover ik kan zien gebeurd.
- helpdesk medewerkers zijn rechtsstreek benaderd en om de tuin geleid
- Een extern IRT bedrijf meteen het nieuws nar buiten dat alles op straat ligt, blijkt toch niet waar te zijn met screen-scaping. Het MFA werkte niet meer gewezen wordt naar te veel afscherming waardoor alertheid op foute zaken gemist wordt
- De voorbereidingen met het IRT gebeuren (extern) geven een gebrek aan voorbereiding en afstemming aan.

Als de te strikte inzet van afscherming de oorzaak is moeten we naar dat IRT bedrijf waarom dat niet als probleem herkend is. De foute aan de andere kant met een overdreven het moet want ....
Reageer
echtwaar? @karma416 februari 2026 05:15
Daar zit juist het probleem, iemand met deze info en toegang tot het systeem zou normaal dit legitimatie bewijs niet kunnen gebruiken als je hem als verloren registreert.
Reageer
karma4 @echtwaar?16 februari 2026 13:33
Zelfs als het als verloren geregistreerd dan nog.
Een vervalst briefje van 50 euro geen geldig iets zelfs onder dwang het anderen laten accepteren is nog steeds fout. Bij identiteitsgebeueren draaien we het ineens om en is vervalst geld ineens wel geldig en moet de ander het maar accepteren. Dat is verbazend tegensttrijdig en als uitganggspunt fout..
Reageer
punishedbrains @ro8in15 februari 2026 10:29
Wat zou moeten gebeuren is dat geen enkel bedrijf, behalve misschien overheids-diensten (waar ook genoeg fout is) uberhaupt deze gegevens opslaat of nodig heeft. Er zou gewoon een gestandaardiseerde controler moeten plaatsvinden bij afsluiten van iets, waarbij een vertrouwde (I know tricky) dienst zegt "groen!" of "rood!" en dat zou voldoende moeten zijn.
Reageer
La1974 @punishedbrains15 februari 2026 10:50
Zoiets als Itsme bedoel je?

Lijkt me een goede stap ja.
Reageer
robertwebbe @punishedbrains15 februari 2026 11:46
Daar hebben we in Nederland toch al iDIN voor?
Reageer
William_H @robertwebbe16 februari 2026 03:08
iDIN is overgenomen door itsme ;)
Reageer
Sleurhutje @punishedbrains15 februari 2026 11:55
De overheid is al de fout in te gaan door een algemeen referentienummer, het sociaal-fiscaal nummer, om te toveren tot een ultiem identificatiemiddel in de vorm van een BSN.


Daarnaast is het anno 2026 nog steeds überknullig dat er een fotokopie gemaakt moet worden. Waarom niet de chip gebruiken die in het paspoort of ID-kaart aanwezig zijn? Hoef je alleen de referentie naar het identificatiebewijs op te slaan, maar heb je 0,0 gegevens.
Reageer
karma4 @Sleurhutje15 februari 2026 14:31
Het bsn is een identificatiemiddel zoals naw dat is correct. Waar het mis gaat is om het meteen als authenticatie in te zetten. In de GDPR wordt dat onderscheid helder neergezet maar in de AVG is mede door de AP verwarring gesticht door niet de GDPR te volgen maar een eigen ander uitleg te gebruiken.
Reageer
pa2ra @punishedbrains15 februari 2026 23:43
Elk bedrijf is verplicht jouw id te controlefen en te kopiēren en in de personeelsadministratie op te slaan op het moment dat je in dienst komt.
Reageer
punishedbrains @pa2ra17 februari 2026 17:58
Dat snap ik, maar waarom heb je daar alle gegevens voor nodig, als dat ook verplicht is dan moeten we dus af van de plicht alle gegevens op te slaan.
Reageer
nervwrecker @ro8in15 februari 2026 11:01
Helemaal eens, ik vraag me of er een provider is die dit echt beter aanpakt een KPN ofzo bijvoorbeeld, ik zou dan zeker wel overwegen om over te stappen en zelfs meer te betalen als ik weet dat mijn gegevens beter beveiligd worden.
Reageer
jp @nervwrecker15 februari 2026 11:33
Ik weet dat vroeger xs4all wel je naam, maar niet je geslacht opsloeg omdat ze dat niet nodig hadden voor hun administratieve verwerking. Post was dus altijd gericht aan Dhr/Mw Achternaam.


Eeuwig zonde dat ze opgeslokt werden.
Reageer
jimzz @jp15 februari 2026 15:27
Je kan naar Freedom gaan hoor, dat is het xs4all die je kende.
Reageer
Marctraider @ro8in15 februari 2026 11:35
Ja hoor, net als die mooie wet een duppie per dag dat je internet eruit ligt. In de praktijk betekend dat 0 euro, zeker als je te maken hebt met stoplicht internet.

(wat vooral voorkomt bij oude technologie zoals DSL of Coax)

#NietWerkendeWetgeving

[Reactie gewijzigd door Marctraider op 15 februari 2026 11:36]

Reageer
Scriptkid @Marctraider15 februari 2026 18:31
Wat is er nu in God's naam ineens mis met Coax??


Al 20jaar internet op Coax in meerdere huizen nog nooit storing gehad.
Reageer
Marctraider @Scriptkid15 februari 2026 20:50
Geluk gehad? Heb alleen maar upstream issues gehad voor jaren. Na 20 monteurs van zowel de provider als de netbeheerder, meermaals.kabelbreuk, straat open... nooit gefikst.

Je weet dat coax in sommige delen van NL letterlijk wegroest en rot?

[Reactie gewijzigd door Marctraider op 15 februari 2026 20:51]

Reageer
Sando @ro8in15 februari 2026 12:43
Er zou een wet moeten komen dat je per defintie automatisch recht hebt op compensatie. Er wordt gewoon gerommeld en het intresseert ze totaal niets.
Inderdaad. Als er geen consequenties zijn, dan zal er niets veranderen. Dus dit gebeurt nog wel een aantal keer bij verschillende bedrijven dit jaar.

Het scheelt een klein beetje om voor elke dienst een ander email adres (alias van bijvoorbeeld Mozilla of Proton) te gebruiken. Ik gebruik ook steeds vaker een willekeurige naam, sowieso bij webshops. Maar het is praktisch onmogelijk om steeds een andere bankrekening of huisadres te gebruiken.
Reageer
FeareX @ro8in16 februari 2026 07:06
Hier een mail gekregen dat m’n gegevens zijn gelekt. Maar ik sta er iets anders in dan jij. Ik zou het vooral fijn vinden als ze me willen helpen wanneer blijkt dat ik kosten moet gaan maken vanwege het datalek.

Ongelukken gebeuren nou eenmaal en ze kunnen hun werk niet doen zonder die gegevens… En onder de streep willen we toch allemaal een abonnement hebben. Om nou zomaar 50 euro te ontvangen voor deze fout vind ik ook zo’n raar bedrag. Dan ben je “afgekocht” terwijl de echte schade misschien pas over een half jaar ontstaat wanneer criminelen ermee aan de slag gaan.
Reageer
Xalephsis @ro8in16 februari 2026 13:11
Hier ga je een klein beetje de mist in; er zijn geen publieke aandeelhouders. Ze hebben een week voor de aankondiging namelijk een statement gemaakt dat ze een beursgang nu niet zagen zitten vanwege "negatieve signalen."

Ze wisten een week voordat ze aangekondigd hebben dat hun hele klantenbestand gehackt is al dat ze een slecht imago gingen krijgen en om die reden hebben ze een beursgang uitgesteld. Om niet direct onderuit te gaan op de beurs natuurlijk. Ergens wel logisch dat ze het uitgesteld hebben, anderzijds ook moreel verwerpelijk dat ze hun aandeelhouders en het grote kapitaal boven de integriteit van hun klantenbestand stellen.
Reageer
davince72 15 februari 2026 10:11
Dit is natuurlijk te verwachten....als bedrijven portemonnee moeten trekken laten ze het afweten. Nu ben ik persoonlijk niet voor de toestanden zoals in de VS, maar je zou als ODIDO toch een een gebaar moeten maken om alleen al wat vertrouwen te winnen. Bijvoorbeeld door eerstvolgende maand niet te factureren. Dan laat je ook zien dat je de situatie erg vervelend vind.

Verder ben ik heel benieuwd hoe de hack heeft kunnen gebeuren, want daar lijken ook 2 verhalen van te bestaan. Volgens OIDIDO ging het om hele slinkse professionele manier, maar van de andere kant hoor ik dat account van medewerker gehackt is...en als je daarmee al die miljoenen gegevens kunt benaderen zegt al voldoende dat beveiliging niet op orde was. Hoezo?
  • Was er geen 2FA nodig?
  • Was de data via internet te benaderen met user/password? (geen DMZ?)
  • waarom zat er geen throttling / limiet op queries? Er is namelijk geen use-case om alle data op te vragen (backup services zouden met verhoogde credentials/certificaten/ip ranges moeten draaien)
  • Zat allle data in dezelfde database?
  • Was de data niet encrypt?
  • etc etc
Reageer
SunnieNL @davince7215 februari 2026 11:05
Hoe zou een dmz helpen??

Grote kans dat het een saas dienst zoals salesforce was. 2fa is al bekend en zat er op. Ze weten nog niet welke gegevens zijn buitgemaakt en mailen daarom iedereen in het systeem dat ingekeken kon worden. Je kon al die miljoenen gegevens wel inzien, maar ze weten niet wat er is ingezien. Daarvoor loopt vast een intern onderzoek en daar krijg je ook de tijd.

Data zal vast encrypt zijn in rest, maar daar heb je niets aan als het leesbaar op het scherm moet staan bij de supportmedewerker.

Mss hebben ze wel een voor een de records via de browser moeten doorlopen. Mss hebben ze een api gebruikt. Mss hebben ze de database gedownload. Dat is op dit moment allemaal nog niet bekend.
Reageer
SBTweaker @SunnieNL16 februari 2026 07:59
Heb je een bron voor deze statements?
Reageer
SunnieNL @SBTweaker16 februari 2026 09:00
welke statements? Die van de originele poster die gewoon uit de lucht vragen stelt over waarom geen MFA (waar staat dat het niet gebruikt is), waarom niet encrypt (waaruit blijkt dat de data niet encrypt was?), waarom geen DMZ (geen idee wat die vraag hier doet, want die slaat helemaal nergens op), waarom alle data in zelfde database (waar staat dat het om 1 database gaat?), API throttlin (waar staat dat het via de API is gedaan?).
Vraag waarom gegevens van miljoenen mensen kunnen worden ingezien is ook vreemd. Wat heb je er aan als de support medewerker maar van 10% van de mensen de gegevens kan inzien? Wat dan als jij belt en jij net in die andere 90% zit?

Antwoorden van SaaS en MFA => zie NOS. Encrypt in Rest => zie salesforce, leesbaar op scherm => common sense omdat encrypte data lezen op het scherm vrij lastig is voor de meeste mensen.

Om voorbeeld te noemen waarom de API niet gebruikt hoeft te zijn, tijdens Corona waren er van 1000den mensen gegevens op straat gekomen omdat iemand foto's had gemaakt van het scherm.
Reageer
davince72 @SunnieNL16 februari 2026 09:27
Dank voor je opbeurende woorden.
De vragen die ik stel zijn gewoon vragen waarvan ik graag wil dat Odido die beantwoord. Wij kunnen ze niet beantwoorden.
Mbt opmerking DMZ....ik verwacht dat alleen binnen een DMZ er bulk aanvragen gedaan kunnen worden naar backend services, maar dat de bulk opvragingen NIET als api extern beschikbaar is voor bijv support medewerkers. Er is gewoon geen use-case waarom je extern miljoenen klantgegevens kunt opvragen. Daar zou op zijn minst limieten en throttling op moeten zitten. Alarmbellen moeten afgaan als miljoenen gegevens opgevraagd worden of wanneer een client duizenden keren een plukje data opvraagd.
Dus mijn inziens begrijp je niet de context waarom ik die vraag stel en beantwoord wil hebben.
Reageer
Scriptkid @davince7216 februari 2026 10:20
ehh DMZ is juist een minder veilige zone? hoezo wil jij daar sensitive data heen sturen >?
Reageer
davince72 @Scriptkid16 februari 2026 11:19
Een DMZ (Demilitarized Zone) in IT is een beveiligd, geïsoleerd netwerksegment dat fungeert als buffer tussen een onveilig extern netwerk (zoals het internet) en een intern, veilig netwerk (LAN).

Hoe ik het voor ogen heb is dat een supportmedewerker in dashboard geen mogelijkheid heeft om alle data van klanten te bevragen. Hooguit 1 voor 1 en dat ook beveiligt met throttling (max 10 requests per minuut oid) en dan is het ook nog maar de vraag of diegene met zo'n request alle sensitieve data van klant kan bevragen.
De supportmedewerker praat tegen een backend-api aan die dit verzorgd. deze staat in DMZ waarbij die verbinding heeft met die klantgevens db/service. de externe app (dashboard heeft dus geen directe verbinding met het klantgegevens systeem die alle data bevat.

Als bij de hackpoging toegang is verkregen tot het DMZ is dat extra kwalijk, want je zou nooit van buiten(het internet) makkelijk toegang mogen verkrijgen tot het DMZ. Hier zouden veel meer restricties voor moeten gelden zoals VPN/certifcaten/hardware of wat dan ook om daar toegang toe te krijgen.

Dus als hacker heb je toegang verkregen tot buitenkant/dashboard oid, maar dan zou het heel moeilijk moeten zijn om miljoenen gegevens op te vragen, immers is er geen medewerker die 1000 klanten per uur helpt.
Heb je als hacker toegang tot DMZ verkregen met daarbij behorende directe toegang tot DB en bulk bevragingen....dan was op een andere manier de beveiliging niet op orde. maar ook dan zou diegene encrypted data moeten ontvangen.
Oftewel je heb toegang tot selectieve bevragingen incl decrypte data of je hebt toegang tot alle data die encrypted is.
Reageer
SunnieNL @davince7216 februari 2026 12:11
Het probleem is dat het hele klantsysteem waarschijnlijk niet on-premises draait en het waarschijnlijk gaat om een clouddienst (zoals de NOS al meldde dat het Salesforce is). Dan heb je in principe helemaal niets aan een DMZ.

Mocht het een on-premises dienst zijn dan verwacht ik ook overigens geen DMZ in dit geval maar dat er een VPN naar binnen wordt gemaakt. Dat is een stuk veiliger dan het hele systeem via de DMZ aan de buitenwereld laten zien. Mocht je het systeem namelijk in de DMZ plaatsen dan moet je allemaal gaten prikken in het interne netwerk richting o.a. de database. En dat wil je voorkomen.


Ik gok er zelf op dat de aanvallers gewoon een scraper hebben gebruikt die gewoon een voor een de pagina's opvraagt in salesforce en die exporteerd. Het bedrijf waar ik voor werk heeft ook Salesforce in gebruik. De API's zijn daar afgeschermd en kom je niet zomaar in. Normaal moet je elke plugin toestemming geven als ze vanaf de gebruikerskant komen (zowel gebruiker als beheerder). Al hebben wij ook een paar maanden geleden een attack gehad waarbij hackers probeerden ons een plugin te laten installeren (dat is bij andere salesforce klanten wel gelukt, maar daar moet je naar zoeken. Tweakers heeft toen daar ook over bericht toen dat mis ging bij de andere salesforce klanten).


Enfin, een pagina in salesforce maakt verbinding met meerdere Salesforce API's. Een pagina opvragen van een klant in het systeem kan zomaar 30-40 salesforce API calls maken en als je meerdere tabs in de Salesforce interface hebt openstaan zoals ik doe, dan is een refresh van de browser (of inloggen) al snel enkele 100den API calls. Het limiteren kun je dan wel doen, maar dan beperk je mogelijk ook de supportmedewerker in zijn werk.
Een scraper ziet er dan ook uit als normaal verkeer. Dat verklaard ook dat Odido niet direct kan zeggen welke klanten in de datalek zitten en ze dus naar iedereen in de database een bericht sturen. Nergens, in geen enkel officieel bericht, staat dat er miljoenen records zijn ingezien of gelekt. Dat is in potentie alleen wel het geval, omdat de aanvallers toegang hadden tot miljoenen records. Het is echter onbekend hoeveel gegevens ze daadwerkelijk hebben ingezien.


De vraag die je je wel kan stellen is, als er een scraper is gebruikt, waarom er dan nog steeds zoveel informatie wordt getoond aan de supportmedewerker. Is dat dan nodig voor zijn werk. Het antwoord daarop is, als je logisch nadenkt, eigenlijk ja. Als je een contract afsluit moeten deze gegevens immers ingevoerd kunnen worden en als jij support belt moeten ze deze gegevens kunnen aanpassen en worden deze gegevens gebruikt om te verifieren dat jij jij bent.
Daarin is Odido niet de enige. Als jij je verzekeraar belt, zullen die ook vragen om postcode, huisnummer en geboortedatum en in sommige gevallen ook om de laatste 3 cijfers van je bankrekening. En dat is dan ook het grootste probleem van deze hack. Hoe gaan al die bedrijven die normaal deze gegevens gebruiken ter verificatie, dat nu afvangen.

[Reactie gewijzigd door SunnieNL op 16 februari 2026 12:28]

Reageer
davince72 @SunnieNL16 februari 2026 12:52
Bedankt voor de ietwat normalere reactie. Het is en was geen wedstrijdje wie heeft er meeste verstand van.
Ik zoek slechts antwoorden bij vragen die Odido zou moeten beantwoorden.
Simpelweg omdat ze zelf geen verantwoordelijkheid pakken. Lees de informatiepagina maar eens.


Twee QA waar ik mij zwaar aan irriteer:
  • Hoe heeft dit incident kunnen gebeuren?
    • Een standaard antwoord zonder in detail te treden en hand in eigen boezem te steken. Als ik mijn fiets niet op slot zet en hij wordt gestolen dan zal iedereen toch ook naar mij wijzen dat ik stom ben geweest om hem niet op slot te zetten. Ook al vinden we dat je niet mag stelen.
  • Was de beveiliging van Odido op orde?
    • Dan komt een heel politiek antwoord, terwijl het antwoord had moeten zijn: NEE die was niet op orde.
We worden nu gewoon voor de gek gehouden door Odido en ze proberen hun handen te wassen in onschuld.....wat ja het waren slinkse criminelen....
Reageer
SunnieNL @davince7216 februari 2026 13:51
Odido gaat die vragen nooit beantwoorden naar het publiek. En dat hoeft ook niet. Zolang de echte antwoorden maar bij een externe onderzoeker komt en de uitkomst van dat onderzoek (wel of niet nalatig) maar naar buiten komt. De rest is voor het publiek niet interessant. Voor technici zouden ze eventueel nog een deel kunnen omschrijven hoe ze aanval in zijn werk is gegaan, zodat anderen er van kunnen leren.

De vraag of de beveiliging wel of niet in orde was is niet te beoordelen via het feit dat er een datalek is geweest. Een beveiliging is nooit 100% waterdicht, risico op datalek kun je nooit op 0 krijgen. Dat is domweg onmogelijk tenzij er helemaal niemand bij het systeem kan op geen enkele manier. Maar dan is het de vraag waarom je die data opslaat :) De vraag moet zijn of Odido het risico goed had ingeschat en welke maatregelen er zijn genomen om die zover mogelijk naar 0 te brengen en of die voldoende waren.


Risico beheersing is nogal een calculatie waar vele zaken in meespelen. Moet de belastingdienst miljoenen investeren om die ene dag dat iedereen belasting aangifte wilt doen op te kunnen vangen? Datzelfde is ook bij beveiliging. Moet je miljoenen investeren om een risico van 10 op 100 naar 9 op 100 te brengen? En als je dat al doet, wat doet dat dan met de gebruiksvriendelijkheid. Odido zou bijvoorbeeld kunnen eisen dat iedereen van support op kantoor zit en die systemen alleen daar beschikbaar zijn zonder enige vorm van internet naar buiten en dat iedereen met een 20 karakters lang wachtwoord moet inloggen en elk kwartier een MFA moet doorlopen. Dat maakt het een stuk veiliger, maar niet werkbaar.

Je kunt ook alles in de gaten blijven houden, alleen wordt dan je logging waarschijnlijk zo groot dat je door de meldingen heen de aanval niet meer ziet. Is dan een systeem dat veel monitort en veel meldingen stuurt beter dan een systeem dat minder meldingen stuurt? Dat valt te bezien.

Ik geloof niet dat er iemand is die niet vatbaar is voor phishing. Vroeg of laat valt iedereen daar voor. En ja, je zou MFA kunnen doen met hardwarekeys (dat maakt het wat veiliger en voorkomt MFA fatique), maar ook daar kan ik wel een methode voor vinden om die te verkrijgen, als het echt moet. Bedoel, bankpassen en pincodes worden ook om de haverklap ontvreemd.
Reageer
davince72 @SunnieNL16 februari 2026 14:57
Ik ga het hier absoluut niet opnemen voor Odido en dat zou iedereen moeten doen die zijn gegevens vertrouwd aan grote bedrijven. Het lijkt me zeker ook niet verstandig om te stellen dat Odido vragen niet hoeft te beantwoorden. Waar komt die beschermig opeens vandaan? Transparantie lijkt me hier belangrijk en zie geen reden waarom Odido hun klanten met een te summier verhaaltje afscheept.
Ze hebben de plicht die AVG gegevens veilig op te slaan.

Zodra mensen kunnen beschikken over de details kunnen we pas een juiste afweging maken of ze wel voldoende hebben gedaan. Misschien was het een blunder van de bovenste plank en heel misschien was het wel de hack van de eeuw, maar ik neig nu heel sterk naar dat eerste.

Wij mogen wel wat kritischer zijn op hoe bedrijven met onze gegevens omgaan ipv redeneren dat je het toch nooit kan voorkomen en het dus maar door de vingers ziet oid.
Reageer
SunnieNL @davince7216 februari 2026 19:49
Ik bescherm ze niet, ik zeg alleen dat de ins en outs niet publiek kenbaar gemaakt hoeven worden. Ja ze hebben de plicht veilig op te slaan en om te gaan met gegevens, maar het publiek is niet degene die daar een oordeel over kan en mag nemen. Daar zijn de instanties voor die toezicht houden over de AVG en die instanties maken hun oordeel en onderzoek openbaar. Dat is namelijk ook geregeld in de AVG.


Odido hoeft dat dus niet te doen. Laat dat oordeel over aan de AP.
Reageer
davince72 @SunnieNL16 februari 2026 23:28
En de AP is helaas niet op de hand van de gewone burger helaas. Die indruk krijg ik tenminste. Lees het verhaal anders eens van Tweaker Michel jonkers .
Reageer
Scriptkid @davince7216 februari 2026 12:50
Je zegt het zelf het is een less secure zone Dan intern.
Daar ga je toch geen sensitive data api in hosten
Reageer
davince72 @Scriptkid16 februari 2026 13:06
We gaan wedstrijdje doen wie er meeste verstand van heeft door in detail te treden over aanwezigheid van een DMZ? We praten op zijn minst langs elkaar heen.
Laten we het omdraaien. Jij vind het veiliger om geen DMZ te hebben en extern dashboard rechtstreeks met saleforce te koppelen? Dat is natuurlijk helemaal uit den boze. Tuurlijk zal er een DMZ moeten zijn. Daar ga je idealiter niet je sensitive data hosten en dat beweer ik ook niet.
Maar misschien moet jij uitleggen waarom het zo logisch / eenvoudig is om miljoenen klantgegevens te stelen als de beveiliging bij Odido topprioriteit heeft zoals ze beweren. Ik kan niet anders concluderen dan dat de beveiliging zeer ondermaats geweest moet zijn. Ook er vanuit gaande dat de hack extern kon worden uitgevoerd en niet eens on-premise. Vraag je gewoon af waarom een willekeurig persoon met internet verbinding en verkregen inloggevens bij die data kon?
Reageer
Scriptkid @davince7216 februari 2026 13:23
Ik kan niet anders concluderen dan dat de beveiliging zeer ondermaats geweest moet zijn
Jij doet nu een hele hoop aannames, (Sterker nog je weet niet eens of Odido deze data wel als sensitive bestempeld) En ja een PBI gate uit intern is meer secure dan een PBI gate uit DMZ (ken ook geen enkel bedrijf waar dat uberhaubt is toegestaan om uit DMZ te doen).

Ik ga niet alle attack mogelijkheden door spreken en hoe je daar tegen kan verdedigen, Daarnaast weten we niet eens wat de data classificatie is die gesteld is door Odido.

Ik zeg alleen dat een DMZ totaal kant nog wall slaat want dan ga je juist een laag de verkeerde kant op dan ga je het juist een aanvaller makkeijlker maken.

Normaal gesproken bij SAAS heb je een secure tunnel tussen jouw DC Internal en cloud internal ,

Als je daar DMZ tussen koppeld gaat je classificatie dus naar beneden ,
Reageer
davince72 @Scriptkid16 februari 2026 14:43
Je hebt helemaal gelijk natuurlijk8)7 Sorry dat ik uberhaupt de term DMZ ter sprake bracht in een algemene vraag. Wellicht dat Odido nog Scriptkids kunnen gebruiken voor hun beveiliging.
Antwoord geven op vragen die ik stel is verder ook niet nodig, je kunt beter meer in detail treden over PBI gates, SAAS en DMZ.
Nog een fijne dag.
Reageer
lepel @SunnieNL16 februari 2026 09:01
Ze weten mi wel wat er bekeken is. Ik heb een mail gekregen die duidelijk aan geeft dat het nummer van mijn paspoort/rijbewijs niet gestolen is, terwijl een aantal collega's en vrienden een mail hebben gekregen waarin staat dat die data van hun wel gestolen is.
Reageer
SunnieNL @lepel16 februari 2026 09:03
Nee, ze weten niet wiens gegevens ingezien is. Daarom sturen ze een mail naar iedereen in de database. De mail verschilt omdat bij niet iedereen dezelfde gegevens in het systeem staan. Ik zit bv. al 25 jaar bij odido (wat begon als libertel) en daarom staat mijn paspoort er niet meer in. Ik had echter wel mijn abo net verlengt, wat verklaard waarom mijn bankrekening er in staat.
Reageer
bazzym @SunnieNL16 februari 2026 07:47
2FA is ook zeker niet altijd de heilige graal, veel geziene oplossingen hiervoor vragen alleen om 'bevestiging' in een mobiele app. Als je op een grote gebruikersgroep waar je met phishing een wachtwoord hebt geprobeerd te ontfutselen toegang hebt tot een account is er een redelijke kans dat iemand ook wel zo onhandig is om in de app te bevestigen dat zij het zijn zonder dat ze proberen in te loggen..

Pentest resultaten genoeg gezien... wil je 2fa écht laten werken moet je een tokencode gebruiken, of je die nu in moet voeren of moet matchen uit een meerkeuzelijst.
Reageer
Scriptkid @davince7215 februari 2026 18:36
Volgens Odido waren de 2fas approved.
En dan ga je bijna altijd nat tenzij je een goede SOC hebt en alles netjes monitored.
Reageer
Skit3000 @Scriptkid16 februari 2026 09:12
Je kan om 2FA vragen per inlogpoging, of elke keer bij het opvragen van klantgegevens. In (veel) ziekenhuizen gebruiken ze de tweede variant, waarbij medewerkers hun kaart in de computer op de kamer van de patiënt stoppen en daarna direct (en alleen) bij de gegevens van deze persoon komen.
Reageer
MikeyMan @Skit300016 februari 2026 09:31
Ja, en dan duurt het vervolgens twee keer zo lang om je service call te doen.

Gaan we weer klagen dat de helpdesk zo traag is...
Reageer
Skit3000 @MikeyMan16 februari 2026 09:40
Dat hoeft niet, je kan een medewerker ook elke keer de 2FA uit laten voeren aan het einde van een gesprek om zo aan te geven dat ze klaar zijn voor de volgende. Zodra het belletje binnen komt, krijgen ze de gegevens van de betreffende klant (of kunnen één zoekopdracht uitvoeren om de juiste persoon te selecteren) en klaar. Dan heb je hooguit dat er vanuit Odido gezien 5 extra seconden tussen twee het aannemen van twee calls zit en ze misschien een extra medewerker nodig hebben om het serviceniveau op hetzelfde peil te houden (of gewoon zorgen dat de reden waarom mensen de service-afdeling moeten bellen aanpakken).
Reageer
Scriptkid @Skit300016 februari 2026 09:48
Tuurlijk , dan krijg je nog meer 2FA vermoeidheid. DAT is juist wat hier gebeurd,

Aanvaller stuurd meerdere 2FA`s net zo lang tot eindgebruiker keer OK klikt,


Wat je nodig hebt zijn physing resistent (resistent betekend niet 100% failproof) MFA. wat het al heel wat moeilijker maakt omdat je dan ook een stukje screengrab software nodig hebt om de MFA te bypassen.
Reageer
xxs @Scriptkid16 februari 2026 10:01
Zou je de MFA vermoeidheid niet makkelijk met een YubiKey of met een vingerafdruklezer op kunnen lossen?
Reageer
Scriptkid @xxs16 februari 2026 10:18
zeker , dat is wat ik ook precies wat ik zeg phising resistent MFA is nodig en goede CAP,

Alleen in kunnen loggen van trusted machines, en als het sensitive data is ook alleen vanaf trusted netwerk.
Reageer
xxs @Scriptkid16 februari 2026 10:51
En een limiet op het aantal requests voor data zodat je geen 6,2 miljoen records kunt downloaden in no time.
Reageer
Skit3000 @Scriptkid16 februari 2026 10:08
Toch heb ik liever dat door vermoeidheid iemand één keer per ongeluk een 2FA om toegang tot de gegevens van één klant goedkeurt, dan een MFA oplossing die (wanneer een aanvaller toch toegang heeft verkregen) de gegevens van alle klanten blootlegt.
Reageer
flaskk @Scriptkid16 februari 2026 11:32
Dan is nog steeds de vraag waarom er oneindig queries getrokken konden worden door 1 medewerker? je zou per dag iets van 80 mogen doen max en dan gaat er een lock oid op? Volgens mij kan dat best wel goed ingeregeld kunnen worden.
Reageer
yatogami28 @Scriptkid16 februari 2026 11:00
Het betreft hiet om werknemers uit India toch. Dus dat laat zien dat er al bespaard wordt.
Reageer
Llopigat @Scriptkid16 februari 2026 13:22
Tja alsnog heb je dingen als RBAC en een goede SOC is voor een bedrijf als odido ook niet optioneel.

Foutjes kunnen gebeuren hoor maar ik vind deze reactie van Odido hier wel nogal onverschillig ("ach joh normaal gebeurt er niks met dit soort informatie. Oh je hebt wel schade ondervonden? Nouja misschien is je data ook wel ergens anders gelekt hoor!"). Zo komen die antwoorden op mij over. Klinkt niet alsof ze het erg serieus nemen.

Compensatie is ook iets dat voor mij niet per se hoeft maar een flinke boete van de AP wel. Dat houdt databeveiliging op de radar bij bedrijven.

[Reactie gewijzigd door Llopigat op 16 februari 2026 13:28]

Reageer
Daivy 15 februari 2026 11:18
Het bedrijf zegt dat criminelen in de praktijk niet automatisch identiteitsfraude kunnen plegen met de gestolen data.
Dit is onjuist. Ik ben slachtoffer geweest van identiteitsfraude, waarbij onder mijn naam en oud adres bestellingen zijn geplaatst.

Ik moest volgens zowel de Politie als het incassobureau waaraan mijn zaak was verkocht aangifte doen voor identiteitsfraude, voordat de zaak werd gesloten. Aangifte was natuurlijk puur voor het incassobureau, Politie heeft het te druk en er is geen beginnen aan.

(Volledige) naam en adres is ruimvoldoende voor identiteitsfraude. Zeker met partijen zoals Zalando die zonder checks achteraf betalen toestaan.
Reageer
R4gnax
@Daivy15 februari 2026 11:33
(Volledige) naam en adres is ruimvoldoende voor identiteitsfraude. Zeker met partijen zoals Zalando die zonder checks achteraf betalen toestaan.
Yup. Ik had de casus Zalando hier ook al aangehaald:
R4gnax in 'Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek'

Zalando was er in de media nogal scherp over. En schofferend richting de gehele bevolking ook. Hun reactie was botweg dat het hen veel geld aan extra verkopen oplevert om zo laagdrempelig mogelijk af te laten rekenen, en dat ze dat systeem dus niet van meer beveilingslagen gaan voorzien. Komt er misbruik van? Jammer dan. Dan moet je zelf maar werk ervan gaan maken door het bij hun klantenservice te melden, aangifte te doen, in gesprek te gaan met incassobureau, etc.
Reageer
Florimon @R4gnax15 februari 2026 11:44
Is dat niet hartstikke de omgekeerd wereld? Het zou toch Zalando moeten zijn die in geval van betwisting van een koopovereenkomst, zou moeten aantonen dat jij wel degelijk de overeenkomst bent aangegaan?
Reageer
R4gnax
@Florimon15 februari 2026 12:01
Welkom bij automatische incasso's. Leuk systeem, heh?
Reageer
mawashigeri @Florimon15 februari 2026 13:23
Aangifte doen tegen Zalando, als voldoende mensen dat doen kan er wat veranderen.

Bottom line: er zal niets veranderen ;(
Reageer
Daivy @R4gnax15 februari 2026 16:35
Juist, ironisch te noemen. Zolang ik niet vermeldde dat ik niet degene was die de bestelling had geplaatst kreeg ik voldoende informatie; e.g. product informatie etc. Echter zodra ik zei dat het niet mijn bestelling was viel Zalando stil en mochten ze niets vertellen. Ik moest het zelf maar uitzoeken.
Reageer
J_van_Ekris @R4gnax15 februari 2026 18:59
Komt er misbruik van? Jammer dan. Dan moet je zelf maar werk ervan gaan maken door het bij hun klantenservice te melden, aangifte te doen, in gesprek te gaan met incassobureau, etc.
Dit is inderdaad de combinatie van twee zwaktes die het pijnlijk maakt. Met dit soort enorme datalekken een onhoudbare positie op lange termijn denk ik, maar er zal wel wat water door de Rijn gaan voordat Zalando dit snapt.
Reageer
Draconian @Daivy15 februari 2026 11:21
En wat denk je van je gestolen data verkopen in het buitenland? Het is niet zo dat deze persoonsgegevens alleen in Nederland worden verkocht. In dit geval hebben ze ook je IBAN en nummer van je ID kaart.

Er valt nog veel meer mee te doen. Daarom ook de grootste datalek ooit in Nederland.
Reageer
pcxs @Daivy15 februari 2026 12:22
Maar naam en adres kan iemand zo te pakken hebben zonder digitaal moeite te toen kijk maar in het online telefoonboek pak een willekeurige naam heb je het adres ook.
Bedrijven moeten gewoon betere beveiliging hebben en mensen moeten niet overal op klikken
Voorbeeld mijn ouders krijgen op Ziggo 90% van de phising mails momenteel cloudopslag gemeentelijke informatiedienst en allemaal zijn het Phising mails als de mensen telkens daar in blijven trappen is niks veilig.

Als men bestellingen kan doen zonder enige controle dan is dat het risico van het bedrijf zelf natuurlijk is een data lek niet goed maar mensen moeten zelf ook een alerter zijn en de politie moet meer capaciteit krijgen om dit soort figuren op te sporen en voorgoed ut de maatschappij te verwijderen
Reageer
Frits1980 15 februari 2026 09:45
Ik vind dat Odido de zaak best makkelijk bagatelliseert. Identiteitsfraude hoeft niet te gebeuren, dat klopt. Maar mijn ID nummer ivm met de rest van de gegevens hebben ze niet voor niets buitgemaakt. De intentie van de hackers mag dan misschien niet bij fraude / misbruik van mijn gegevens liggen. Maar nu dat mijn gegevens dus op straat liggen (dankzij onkunde van Odido) moet ik er dus vanaf nu wel vanuit gaan dat het dus wel elk moment kan gebeuren.

in hun brief plaatsten ze ook de zin “Helaas komen cyberincidenten zoals deze steeds vaker voor en is geen enkele organisatie immuun.” Dat mag zo zijn, maar om dat nu direct in je eerste brief te communiceren vind ik een beetje laf. Daarnaast is later gebleken dat de manier waarop het fout is gegaan ook best wel algemeen bekend is en daarom had ik ook verwacht dat een organisatie als Odido hierop wel voldoende zou zijn voorbereidt.

Maar nogmaals, dit is mijn mening.
Reageer
Thalaron @Frits198015 februari 2026 10:00
Em wat ik vooral bijzonder vond, is de hoebeelheid data die gelekt is. Dat ook allemaal in plain tekst en niet encrypted zover ik begrijp?…

ik werk bij een bedrijf waarbij klanten die bellen zich moeten identificeren middels een ID-check. Bijvoorbeeld een combinatie van postcode/ huisnummer, geboortedatum, e-mail adres, laatste 3 cijfers rekeningnummer, telfoonnummer dat opgegeven is (als ze daar niet al mee bellen).


Het énige dat hier niet is gelekt dat wij kunnen vragen zo ongeveer, zijn gegevens van ons eigen product, eventueel anderen op diens polis en het polisnummer…

Nu kan er verder niet heel veel dramatisch gebeuren met de informatie die ik kan verstrekken verder, gelet op andere checks wanneer iemand iets wil afkopen, maar er zullen vast klanten zijn die zich daar wél zorgen over maken.
Reageer
downtime @Thalaron15 februari 2026 11:11
Naar ik begreep weet Odido niet eens hoeveel er gelekt is. Totdat de datasets op het Darkweb verschijnen weten we niet of er van die 6 miljoen klanten honderden, duizenden of miljoenen getroffen zijn.
Reageer
La1974 @downtime15 februari 2026 14:46
Ik neem aan dat iedere raadpleging gelogd wordt. Dat moet dus niet zo moeilijk zijn om te achterhalen.
Reageer
downtime @La197415 februari 2026 15:32
En welke reden heb je om dat aan te nemen? Als ze zulke logs hadden dan zou het een koud kunstje moeten zijn om die logs geautomatiseerd uit te lezen en alleen de getroffenen een mail te sturen.
Reageer
La1974 @downtime15 februari 2026 15:38
ik zou verwachten dat een telecomprovider dit heeft: https://www.salesforce.com/nl/platform/shield

Zeker gezien ze zoveel persoonsgegevens verwerken. Maar nu twijfel ik.
Reageer
bw_van_manen @La197416 februari 2026 10:59
Vaak wordt van dat soort opties je licentie rustig 20% duurder en gaat er nog best wat werk in zitten qua configuratie en opvolging. Goede kans dus dat Odido dat niet had omdat de baten nu pas duidelijk zijn...
Reageer
HakanX @downtime15 februari 2026 22:49
Dat ze enkel de mensen mailen waarvan de gegevens zijn gelekt. Dat kan alleen middels logs. Het bewijst tevens dat ze meer informatie erover hebben, maar dat geheimhouden en liegen erover.
Reageer
La1974 @Thalaron15 februari 2026 11:02
Volgens mij is het via webscraping gedaan. Dat verklaart waarom het niet encrypted is.

Wel vreemd dat het systeem niet signaleerde dat er in korte tijd zoveel klanten werden geraadpleegd.

[Reactie gewijzigd door La1974 op 15 februari 2026 14:44]

Reageer
Dicebar @La197415 februari 2026 12:58
En dan te bedenken dat dit gescraped is in SalesForce. Dat is ongeveer de grootste partij waarvan je je klantenservicepakket kan afnemen als bedrijf. Dat zij hun zaakjes niet op orde hebben, daar kan ik met m'n pet niet bij.
Reageer
La1974 @Dicebar15 februari 2026 14:45
Zal wel een setting zijn die Odido niet had afgenomen. Salesforce is mooi en inderdaad de marktleider. Maar vrijwel iedere optie kost extra. Het lijkt wel BMW of Audi.
Reageer
karma4 @Frits198015 februari 2026 14:33
Afdreiging om geld te incasseren is wat hackers gewoonlijk proberen.
Jij/wij betalen dat uiteindelijk.
Minder inzichtelijk is als het ze om sociale onrust gaat, dan is ophef met wijzen en eisen de bedoeling. Ze hebben het doel al bereikt als de emotie via de asociale media speelt.
Reageer
Ghostfury 15 februari 2026 14:35
Die reactie van Odido komt inderdaad mega-arrogant over. Geen fatsoenlijke excuses, alleen maar 'we betreuren het' en meteen een disclaimer dat er geen automatische compensatie is. Alsof ze vooral bezig zijn om zichzelf juridisch in te dekken in plaats van verantwoordelijkheid te nemen.

En laten we niet vergeten: Odido is geen kleine speler of startupje dat even krap bij kas zit. Dit is een miljardenbedrijf met een omzet van ruim € 2,3 miljard in 2024 . Ze hebben alle middelen om echt goede beveiliging te hebben en om getroffen klanten fatsoenlijk tegemoet te komen.

Het lek zelf ís al schade: privacy-inbreuk, stress, onveiligheidsgevoel en dat telt als immateriële schade. Boetes van de AP gaan naar de schatkist, niet naar ons. Daarom zou een massa claim echt op z'n plek zijn, gewoon om een precedent te scheppen met een forfaitair bedrag (zeg €100-€500 per persoon) voor dit soort gevallen. Want tot nu toe leidt zo'n lek zelden tot daadwerkelijke fraude die je keihard kunt bewijzen, maar de impact is er wel degelijk.
Reageer
uiltje @Ghostfury15 februari 2026 16:53
Het probleem is natuurlijk dat het lekken van persoonsinfo het makkelijker maakt om phishing aanvallen uit te voeren, of jezelf voor te doen als een persoon waarvan de info is gelekt. Dat is normaal gesproken niet 100% voldoende om een aanval uit te voeren, maar komt daar wel bij in de buurt.
Reageer
Alfa1970 15 februari 2026 10:16
Ik ben benieuwd of een rechter het eens zal zijn met deze uitspraak van Odido.
Het is heel duidelijk dat dit een uitspraak is om schade claims te voorkomen.
Maar of ze juridisch gezien ook een poot om op te staan hebben is nog maar zeer de vraag.

Ik vraag mij ook ten zeerste af hoe Odido mij een e-mail gaat sturen, ze hebben hun e-mail dienst meerdere jaren geleden, net na de overname, opgeheven vanwege bezuinigingen.

En, en ondanks hun mooie stukje op hun website staat er een feitelijke onjuistheid op hun website aangaande deze hack:
We hebben klanten proactief geïnformeerd zodat zij extra alert kunnen zijn op eventueel verdachte signalen.
Zij hebben niemand proactief geïnformeerd, zij waren reactief, pas 5 dagen na de eerste indicatie is er een melding gedaan bij de AVG, en nog later dan dat is die website in de lucht gegooid met deze teksten.

Dit soort uitspraken van bedrijven zijn bedoeld om mensen in slaap te sussen en ervoor te zorgen dat er zo min mogelijk claims worden ingediend. Odido is wel degelijk juridisch aansprakelijk te stellen voor alle schade die aantoonbaar het gevolg is van misbruik van data uit dit incident.

Aangezien bij eigen admissie dat de eerste signalen van misbruik zijn ontdekt op 7 februari, en de meldplicht bij de AVG op maximaal 72 uur staat én het feit dat de feitelijke melding pas gedaan is op 12 februari, vraag ik mij af of Odido op welke wijze dan ook een juridische poot om op te staan heeft om schadeclaims te voorkomen door het soort uitspraken dat zij op hun website hebben gezet.
Ik ben geen advocaat en dit is geen juridisch advies, maar een uitspraak als "wij hebben u proactief geïnformeerd" is aantoonbaar onjuist zelfs met de teksten uit hun eigen schrijven. Ze waren reactief, en ze hebben 5 dagen gewacht en dat is zwart op wit te lezen.
Reageer
R4gnax
@Alfa197015 februari 2026 17:20
Ik ben benieuwd of Odido nog extra klop van de ACM na gaat krijgen.

Er ligt een uitspraak van het Europees Hooggerechtshof uit september jl. die voorzover ik kan zien aangeeft dat onder het kopje "immateriële schade" welke onder de AVG/GDPR om een schadevergoeding gevraagd kan worden na een data-lek, zelfs simpele vrees en onrust over misbruik valt en dat of de verwerkingsverantwoordelijke nou daadwerkelijk schuld draagt voor het lek of niet buiten beschouwing dient te blijven in dat geval.

Maw. het gezever over "je hebt geen recht op schadevergoeding" kan nog wel eens vervelend als een boemerang terug komen, onder het kopje "bewust misinformeren."

[Reactie gewijzigd door R4gnax op 15 februari 2026 17:21]

Reageer
Hans1990 @Alfa197015 februari 2026 19:49
Ik denk dat ze dit soort teksten neerzetten omdat het afschrikwekkend lijkt, teveel mensen goedgelovig zijn, en/of ze kunnen gaan papegaaien voor de mensen die er wel over gaan bellen/klagen.

Wil je jouw gelijk halen, dan moet je er echt werk van maken. Maar aangezien de meeste mensen niet weten dat ze dit dan moeten zeggen (bijvoorbeeld, om te beginnen waar je een klacht kan indienen over dit beleid), hoe ze dat moeten doen, of er simpelweg geen zin in hebben, dan is waarschijnlijk 99% van de gevallen al afgewend.

Wat mij betreft zou het goed zijn als er een collectief waar mensen zich laagdrempelig bij aan kunnen sluiten. Want het enige wat ik anders hieruit kan opmaken is dat ze alleen proactief bezig zijn aansprakelijkheid en verantwoordelijkheid te ontlopen, en reactief te verwoorden naar PR vriendelijke kulverhalen.

[Reactie gewijzigd door Hans1990 op 15 februari 2026 19:50]

Reageer
R4gnax
15 februari 2026 11:06
Uit het artikel:
In een van die vragen wordt bovendien verwezen naar 'experts op Tweakers', al is onduidelijk waar die claim vandaan komt
Die kan ik beantwoorden. Engelfriet heeft gereageerd op één van mijn reacties waar ik de mogelijkheid tot schadevergoeding voor indirecte immateriële schade aanhaaldde, waarbij hij vermeldde dat je dan wel die schade moet kunnen bewijzen als zijnde veroorzaakt door Odido.

Echter lijkt daar met een recente uitspraak van het Europees Hooggerechtshof, dus geen sprake meer van te zijn. R4gnax in 'Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek'

Daar geeft het Hof aan dat ook simpele vrees of ergernis over de situatie al afdoende reden is, en dat verder de schuldvraag van de verantwoordelijke buiten beschouwing gelaten dient te worden.

IANAL, maar Engelfriet wel.
Ben benieuwd wat hij over die uitspraak te zeggen zou hebben. Mogelijk was hij er nog niet bekend mee, aangezien deze ook nog wel vrij recent is (sep 2025).
Reageer
William_H @R4gnax16 februari 2026 03:11
Dan hebben ze wel goed zitten grasduinen, zoeken en meelezen in de comments, als ze zo van wal steken. Je kunt mensen natuurlijk altijd angst aanpraten dat een bepaalde actie geen nut heeft, maar jou verhaal bewijst nu net het tegenovergestelde. Je hebt wel degelijk een kans als je die zou willen pakken. Met de introductie van groepsrechtspraak in Nederland, zouden we zo een groep kunnen vormen en samen een schadeclaim kunnen gaan indienen bij de rechtbank.
Reageer
Martinez- 15 februari 2026 12:28
Juist dit soort berichten motiveren me meer om Odido een hak te zetten. De brutaliteit en het verplaatsen van verantwoordelijk is tenenkrommend. Ze hebben duidelijk niet door wat ze teweeg hebben gebracht door hun incompetentie.

Zullen we een topic starten (of het bestaande topic gebruiken, maar dat is al aardig 'vervuild' met de standaard mails) waarin we elkaar helpen om een juridische case te maken?


Dit bericht is puur voor het strooien van zand in de ogen. Op voorhand proberen alle claims te voorkomen i.p.v. je verantwoordelijkheid te nemen. Je klanten gaan voor je investeerders, Odido. Maar als je dat niet wilt lezen (en toont) dan moet je het maar gaan voelen.

Bah, ik word langzaamaan moe van alle bedrijven. Er is nog maar 1 ding dat belangrijk is, en dat is niet je klant klaarblijkelijk.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq