gelekte gegevens van 6,2 miljoen bij Odido: kamer eist antwoorden van minister
Den Haag, dinsdag, 17 februari 2026.
Een gigantisch datalek bij Odido heeft de gegevens van 6,2 miljoen mensen blootgelegd, waaronder namen, adressen en bankrekeningnummers. Wat maakt het incident nog ernstiger is dat oud-klanten die al jaren geen abbonement meer hebben, ook zijn getroffen. Dit suggereert dat Odido gegevens bewaart buiten de termijn die het zelf in haar privacyverklaring noemt. De Tweede Kamer stelt vragen aan de minister over de omvang, de risico’s voor burgers en of de toezichthouder genoeg macht heeft. Duizenden klanten stappen al over naar een andere provider. De discussie over echte gevolgen voor consumenten en de verantwoordelijkheid van grote telecombedrijven is hard aangescherpt.
gelekte gegevens van 6,2 miljoen bij Odido: kamer eist antwoorden van minister
Een gigantisch datalek bij Odido heeft de gegevens van 6,2 miljoen mensen blootgelegd, waaronder namen, adressen en bankrekeningnummers. Wat maakt het incident nog ernstiger is dat oud-klanten die al jaren geen abbonement meer hebben, ook zijn getroffen. Dit suggereert dat Odido gegevens bewaart buiten de termijn die het zelf in haar privacyverklaring noemt. De Tweede Kamer stelt vragen aan de minister over de omvang, de risico’s voor burgers en of de toezichthouder genoeg macht heeft. Duizenden klanten stappen al over naar een andere provider. De discussie over echte gevolgen voor consumenten en de verantwoordelijkheid van grote telecombedrijven is hard aangescherpt. [1]
omvang van het datalek en reactie van de kamer
De Tweede Kamer heeft schriftelijke vragen gesteld aan demissionair minister Karremans van Economische Zaken over het datalek bij Odido. De vragen komen van Kamerleden El Boujdaini en Schoonis van D66. Zij willen weten of er sprake is van nalatigheid of onvoldoende naleving van de AVG door Odido. Ook wordt gevraagd of de meldplicht bij de Autoriteit Persoonsgegevens op tijd is nagekomen. Het lek trof 6,2 miljoen mensen, inclusief ex-klanten die al jaren geen diensten meer gebruikten. [1][2]
langdurige bewaring van gegevens in strijd met eigen beleid
Odido bewaart persoonsgegevens van ex-klanten langer dan beloofd. Volgens het privacystatement worden gegevens maximaal twee jaar na contractbeëindiging bewaard. Toch ontvingen klanten die vijf tot tien jaar geleden overstapten een melding dat hun gegevens bij het lek betrokken waren. Dit wijst op een tekortschieten in datamanagement. Deskundigen stellen dat dit problematisch is, omdat gevoelige informatie zoals bank- en paspoortgegevens niet langer nodig is na een klantschap. Odido geeft aan meer tijd nodig te hebben om dit uit te zoeken. [2][3][4]
methodiek van de cyberaanval en beveiligingsschaal
De aanval vond plaats in het weekend van 7 en 8 februari 2026. Cybercriminelen verkregen toegang via phishing van inloggegevens van klantenservice-medewerkers. Hierdoor konden zij de Salesforce-omgeving bereiken, waar klantgegevens zijn opgeslagen. De hackers konden namen, adressen, geboortedata, e-mailadressen, IBAN-nummers en paspoort- en rijbewijsgegevens lezen en downloaden. Wachtwoorden, scans van identiteitsbewijzen, bel- en facturatiegegevens bleven veilig. Het incident toont beveiligingsrisico’s bij centrale CRM-systemen. [2][5]
klantvertrouwen onder druk na massale overstap
Sinds bekendmaking van het datalek stappen relatief meer klanten over naar andere providers. Via het platform Internetten.nl kwam bijna een kwart van de recente overstappers van Odido, terwijl dit begin februari slechts 6,7% was. Dat is een stijging met 273.134% [6]. Vooral internetklanten vertrekken makkelijker, omdat hun abonnementen vaak maandelijks opzegbaar zijn. Mobiele klanten zitten vaak vast in meeloopcontracten. Het verlies van vertrouwen is merkbaar, ondanks communicatiecampagnes van Odido. [6][7]
juridische gevolgen en aansprakelijkheid van Odido
Of Odido juridisch aansprakelijk is, hangt af van de naleving van de AVG en redelijke zorgvuldigheid. Advocaten benadrukken dat klanten materiële of immateriële schade moeten aantonen voor een succesvolle claim. Voorbeelden zijn kosten voor een nieuw paspoort of bewezen identiteitsfraude. Odido stelt dat een datalek niet automatisch leidt tot compensatie. Eerder zijn in Nederland geen grote collectieve claims succesvol geweest. Toch noemen experts een massaclaim tegen Odido niet kansloos. [5][8]
rol van toezichthouder en mogelijke sancties
De Autoriteit Persoonsgegevens (AP) houdt het incident nauwlettend in de gaten. Hoewel er nog geen officieel onderzoek loopt, benadrukt de AP dat bedrijven zich aan hun eigen privacybeloften moeten houden. Indien Odido tekortschoot in beveiliging of bewaartermijnen, kan de AP een boete opleggen tot in de miljoenen. De AP erkent dat de aard van de gelekte gegevens een verhoogd risico op phishing creëert, maar niet direct op identiteitsfraude. Toch wordt extra waakzaamheid geadviseerd. [2][5][8]
Bronnen
- www.security.nl
- nos.nl
- tweakers.net
- www.metronieuws.nl
- www.hartvannederland.nl
- www.rtlboulevard.nl
- itdaily.be
- www.nrc.nl