Achtergrond
image

Door een hack bij mijn telecomprovider zijn al mijn gegevens gestolen. Kan ik de kosten verhalen op de provider?

woensdag 18 februari 2026, 13:20 door Arnoud Engelfriet, 27 reacties
Laatst bijgewerkt: 20-02-2026, 10:42

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Door een hack bij mijn telecomprovider zijn al mijn persoonsgegevens gestolen, inclusief mijn paspoortnummer. Ik wil nu een nieuw paspoort aanvragen. Kan ik de kosten hiervoor verhalen op de gehackte provider?

Antwoord: Na de hack bij Odido vorige week zijn er vele protesten en klachten over hoe dit kon gebeuren, wat Odido hier aan gaat doen en wie voor de schade opdraait.

Om met dat laatste te beginnen: in Nederland is schade alleen te claimen als je deze met bonnetjes kunt onderbouwen, kort gezegd. Zomaar 500 euro vragen is vrijwel kansloos, hoewel dit in een enkele zaak is toegekend omdat daar specifiek medische dossiers gelekt waren en dat nu eenmaal wel iets waard moest zijn.

Bij deze hack zijn ook paspoortnummers buitgemaakt. Odido zelf zegt dat er geen scans van identiteitsbewijzen zijn gestolen, maar ze zeiden ook dat data goed beveiligd was dus enige skepsis is op zijn plaats. En dan komen we bij concrete schade: een nieuw paspoort aanvragen kost simpelweg geld en daar krijg je een bonnetje voor. Dus kan ik even vangen, meneer Odido?

De eerste hobbel is dat Odido alleen aansprakelijk is voor schade wanneer ze een fout hebben gemaakt. Bij een hack die overmacht is, kun je dus geen claims indienen. Verdedigbaar maar iets speculatiever is dat de hack bewijs is dat Odido in strijd met de wet ID-nummers of zelfs kopieën bewaarde, wat dan de grondslag is voor het moeten vergoeden van de kosten van een nieuw ID-bewijs. Alleen staat dus nog niet vast dat er kopieën bewaard zijn, en ook over het opslaan van dat ID-nummer kun je twijfelen.

Zolang het onderzoek nog loopt, schat ik in dat Odido weinig geneigd zal zijn uit zichzelf aan te bieden om deze schade te vergoeden. Je kunt het natuurlijk proberen bij de kantonrechter, maar de kosten daarvan zijn hoger dan de leges van een nieuw paspoort en de uitkomst is onzeker.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (27)
Reageer met quote
18-02-2026, 13:40 door Anoniem
en zo merken we weer dat zaken eigenlijk niet goed geregeld zijn en dat er een heel groot grijs gebied is waar bedrijven misbruik van kunnen maken om verantwoordelijkheden die ze beloofd hadden te ontwijken. ondertussen zitten de klanten wel met de gebakken peren steeds. er zal maar een abonnement ergens op je naam gezet worden waar je weer achter aan mot gaan om te bewijzen dat jij het niet was. de enige stille hoop die ik heb is dat de baas van odido ook in die 6.2 miljoen zat en dat op zijn/haar naam eens een lading grind van enkele kuub voor zijn deur besteld wordt!
Reageer met quote
18-02-2026, 14:05 door Anoniem
ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....
Reageer met quote
18-02-2026, 14:44 door SecuMetal
Het is zeer de vraag tot in hoeverre Odido nalatig is geweest in het beveiligen van hun omgevingen en/of het onnodig bewaren van data. Dergelijke zaken zijn erg lastig te bewijzen en zullen door derden aangetoond moeten worden. Laat ik voorop stellen dat een cyberaanval iedereen kan overkomen. Zelfs de meest zwaar beveiligde omgevingen kunnen onder vuur komen te liggen en falen. Het is dus niet meer de vraag of je wordt gehackt, maar wanneer. Met de komst van AI en quantum computing wordt het risico alleen nog maar groter. Schadeclaims zijn daardoor erg lastig en je krijgt zeker niet automatisch compensatie als een bedrijf is gehackt. Met de Cyberbeveiligingswet wordt wel de noodzaak nog eens goed aangestipt, maar of dat op termijn ook tot veroordelingen leidt, moet nog blijken.
Reageer met quote
18-02-2026, 17:22 door Anoniem
Engelfriet: "Bij een hack die overmacht is, kun je dus geen claims indienen."

Dit kun je niet menen..... Gestolen data was bereikbaar voor een hacker. Los van de vraag of Odido die data überhaubt had moeten hebben is het simple feit dat deze bereikbaar was voor een hacker geen overmacht maar onkunde (en daarmee laakbaar).

Een hack overmacht noemen om daarmee aansprakelijkeid te ontlopen zou niet geaccepteerd moeten worden.
Reageer met quote
18-02-2026, 18:36 door Anoniem
Om met dat laatste te beginnen: in Nederland is schade alleen te claimen als je deze met bonnetjes kunt onderbouwen, kort gezegd. Zomaar 500 euro vragen is vrijwel kansloos, hoewel dit in een enkele zaak is toegekend omdat daar specifiek medische dossiers gelekt waren en dat nu eenmaal wel iets waard moest zijn.

Dat is een beetje lui statetement . Ook medische dossiers zijn niet "vanzelf" wat waard als ze gelekt zijn .

Vermoedelijk is het deze zaak - medische gegevens en 500 euro schadevergoeding:

https://www.itenrecht.nl/artikelen/gedupeerde-datalek-uwv-krijgt-schadevergoeding

Mevrouw met (bestaande) psychische klachten, die vanwege het lekken ervan zei nog meer depressie e.d. te hebben, een rapport van de psycholoog erbij , en tussen de eis van € 3000 en het bod van € 250 van het UWV maakte de rechter er € 500 euro van.

Dus : zomaar vragen is wel erg kansloos, en ook immateriele schade moet ondersteund worden met meer dan "ik voel me er niet fijn bij en voor <x> bedrag voel ik me weer wel fijn" .
Reageer met quote
18-02-2026, 20:20 door Anoniem
Door Anoniem: Engelfriet: "Bij een hack die overmacht is, kun je dus geen claims indienen."

Dit kun je niet menen..... Gestolen data was bereikbaar voor een hacker. Los van de vraag of Odido die data überhaubt had moeten hebben is het simple feit dat deze bereikbaar was voor een hacker geen overmacht maar onkunde (en daarmee laakbaar).

Nope, zo werkt de wereld dus NIET.

Kun je wel vinden of willen - maar het pure feit dat "iets misgaat" , is geen bewijs van onkunde of nalatigheid.


Een hack overmacht noemen om daarmee aansprakelijkeid te ontlopen zou niet geaccepteerd moeten worden.

Het gaat niet om het _noemen_ , maar om het wel of niet geimplementeerd hebben van standaarden , controles etc etc.
Heb je die niet dan is het nalatig , had je "alles volgens het boekje" dan is het overmacht .

Dat is echt niet anders dan iets als een fysieke inbraak - het pure feit dat die gebeurd is, wil niet zeggen dat de beveiliging "nalatig" "te weinig" was . Vanuit verzekeringsperspectief is alleen de vraag of de beveiling "aan de norm" voldeed wat er beveiligd moest worden. (bij wat hogere waardes komen er eisen aan het hang-en-sluitwerk. Maar ook die zijn niet onkraakbaar ).
Reageer met quote
18-02-2026, 22:23 door Anoniem
Sorry hoor maar als security architect heb ik nieuws voor je. Als je een API met veel te ruime autorisaties aan het internet hangt neem je bewust een risico of je bent gewoon puur incompetent. Dat is geen overmacht, maar domweg een kwestie van incompetentie of grove nalatigheid. Het is domweg te voorkomen dit soort zaken. En dat is simpelweg niet weg te praten omdat je de API hebt laten bouwen en configureren door incompetente figuren. Dit is het gevolg van telkens maar de goedkoopste amateur inhuren op dergelijke technische rollen. Bij geen enkele HR afdeling zowat heeft men enig idee welke eisen daadwerkelijk aan een programmeur moeten worden gesteld. En de meeste zogenaamde security experts met hun zwemdiploma A CISSP certificering snappen technisch niet waar het over gaat. De incompetentie tezamen met de dwangmatige behoefte om de goedkoopste amateurs in te huren die op papier competent lijken te zijn is een beproeft recept om in dit soort IT rampen verzeild te raken. Dit komt ook omdat de HR afdeling en middel management vaak geen idee hebben welke inhoudelijk kennis feitelijk vereist is om op een verantwoorde wijze dit soort opdrachten te laten uitvoeren.

Dit is het gevolg van het laten leiden van IT projecten door niet technisch inhoudelijk sterke mensen. Maar het inhuren van goedkope krachten die vaak weinig tot geen behoorlijke technische kennis hebben. Er zijn welk degelijk echte experts die in te huren zijn waarmee dit soort rampen kunnen worden voorkomen. Maar dat kost geld en tijd. Iets wat de gemiddelde projectleider niet wil en die accepteert daarmee impliciet een groot risico wat ver boven zijn paygrade zit.
Reageer met quote
19-02-2026, 07:39 door Anoniem
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....

Is dat wel zo?
De oorzaak van de hack kwam door "domme" klantenservice medewerkers.
Is een IT afdeling daar verantwoordelijk voor of is dat de HR afdeling?
Reageer met quote
19-02-2026, 08:41 door Anoniem
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....
Een nogal voorbarige conclusie...
Reageer met quote
19-02-2026, 10:22 door Anoniem
Het is te gemakkelijk om te roepen dat een organisatie de boel niet op de orde had en dat je als consument nu geld wilt zien.

Elke organisatie is kwestbaar voor digitale inbraken; cybercrime is immers aan de orde van de dag en het blijft een kat & muisspel om de hackers buiten de deur te houden, al niet eens gesproken over mogelijk corrupte / nalatige medewerkers binnen de eigen organisatie die een mogelijke kwestbaarheid vormen.

Het gaat er met name om in hoeverre deze hack "verwijtbaar" is, bijvoorbeeld doordat men nalatig is geweest in het implementeren van bepaalde beveiligingsstandaarden, het niet volgen van bepaalde procedures zoals het afsluiten van accounts van medewerkers die uit dienst zijn gegaan, en/of dat het een blinde vlek was in de eigen risico-inventarisatie waardoor dit heeft kunnen gebeuren.

Onderzoek zal uitwijzen waar het mis is gegaan en we wullen hier allemaal weer lering uit trekken en de beveiliging van onze organisaties op dat punt weer aanscherpen totdat zich de volgende hack weer ergens anders voordoet...
Reageer met quote
19-02-2026, 10:24 door Anoniem
Door Anoniem:
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....

Is dat wel zo?
De oorzaak van de hack kwam door "domme" klantenservice medewerkers.
Is een IT afdeling daar verantwoordelijk voor of is dat de HR afdeling?
Sinds wanneer heeft een klantenservice medewerker toegang tot de volledige database? Need to know moet worden gevolgd, ook voor IT medewerkers. Als dat niet gebeurd is dan is Odido wel degelijk nalatig, zelfs onder oude wetgeving want ze hebben niet de nodige maatregelen ter bescherming genomen. Onder NIS2 gaan ze helemaal nat, helaas is de CBW (cyber beveiligings wet, NIS2 implementatie in de Nederlandse wetgeving) nog niet door de Kamers.
Reageer met quote
19-02-2026, 14:01 door Anoniem
....
Bij een hack die overmacht is, kun je dus geen claims indienen.
....

Ik hoop toch echt dat als mijn bank geld kwijtraakt doordat er iemand inbreekt, dat ik gecompenseerd word.
PS als de bank daardoor falliet gaat, snap ik dat er niets te halen valt.
Maar Odido is niet falliet en heeft voldoende cashflow om een paspoort vergoeding te geven, zodat er in iedergeval 1 datapunt minder is voor misbruik.
Reageer met quote
19-02-2026, 14:14 door Anoniem
Door Anoniem: Engelfriet: "Bij een hack die overmacht is, kun je dus geen claims indienen."

Dit kun je niet menen..... Gestolen data was bereikbaar voor een hacker. Los van de vraag of Odido die data überhaubt had moeten hebben is het simple feit dat deze bereikbaar was voor een hacker geen overmacht maar onkunde (en daarmee laakbaar).

Een hack overmacht noemen om daarmee aansprakelijkeid te ontlopen zou niet geaccepteerd moeten worden.

Een hack is geen overmacht. Het is een inbraak. Als bij mij thuis goederen worden weggenomen door een inbraak ben ik daarvoor verzekerd, ook als dat spullen van iemand anders waren (waarvoor ik aansprakelijk ben omdat het bij mij thuis ligt).

Ik neem aan dat Odido uit hoofde van een goede bedrijfsvoering verzekerd is en de schade kan vergoeden (eventueel een eigen risico wat ze zelf moeten betalen).
Reageer met quote
19-02-2026, 14:42 door Anoniem
Door Anoniem: Sorry hoor maar als security architect heb ik nieuws voor je. Als je een API met veel te ruime autorisaties aan het internet hangt neem je bewust een risico of je bent gewoon puur incompetent. Dat is geen overmacht, maar domweg een kwestie van incompetentie of grove nalatigheid. Het is domweg te voorkomen dit soort zaken. En dat is simpelweg niet weg te praten omdat je de API hebt laten bouwen en configureren door incompetente figuren. Dit is het gevolg van telkens maar de goedkoopste amateur inhuren op dergelijke technische rollen. Bij geen enkele HR afdeling zowat heeft men enig idee welke eisen daadwerkelijk aan een programmeur moeten worden gesteld. En de meeste zogenaamde security experts met hun zwemdiploma A CISSP certificering snappen technisch niet waar het over gaat. De incompetentie tezamen met de dwangmatige behoefte om de goedkoopste amateurs in te huren die op papier competent lijken te zijn is een beproeft recept om in dit soort IT rampen verzeild te raken. Dit komt ook omdat de HR afdeling en middel management vaak geen idee hebben welke inhoudelijk kennis feitelijk vereist is om op een verantwoorde wijze dit soort opdrachten te laten uitvoeren.

Dit is het gevolg van het laten leiden van IT projecten door niet technisch inhoudelijk sterke mensen. Maar het inhuren van goedkope krachten die vaak weinig tot geen behoorlijke technische kennis hebben. Er zijn welk degelijk echte experts die in te huren zijn waarmee dit soort rampen kunnen worden voorkomen. Maar dat kost geld en tijd. Iets wat de gemiddelde projectleider niet wil en die accepteert daarmee impliciet een groot risico wat ver boven zijn paygrade zit.
Wie zegt dat het een API was?

Volgens mij was de hack een MFA approval geweest vanuit een normale gebruiker?

Door Anoniem:
Door Anoniem:
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....

Is dat wel zo?
De oorzaak van de hack kwam door "domme" klantenservice medewerkers.
Is een IT afdeling daar verantwoordelijk voor of is dat de HR afdeling?
Sinds wanneer heeft een klantenservice medewerker toegang tot de volledige database? Need to know moet worden gevolgd, ook voor IT medewerkers. Als dat niet gebeurd is dan is Odido wel degelijk nalatig, zelfs onder oude wetgeving want ze hebben niet de nodige maatregelen ter bescherming genomen. Onder NIS2 gaan ze helemaal nat, helaas is de CBW (cyber beveiligings wet, NIS2 implementatie in de Nederlandse wetgeving) nog niet door de Kamers.
Een klantenservice medewerker juist toegang eigenlijk bijna al deze data nodig, om een klant te helpen.
Reageer met quote
19-02-2026, 15:46 door Anoniem
Hoewel het verre van mij is om Arnoud te corrigeren heb ik wel de indruk dat het gebruik van overmacht in zijn betoog niet opgaat.

Wat is overmacht? Volgens https://nl.wikipedia.org/wiki/Overmacht

"Overmacht is een juridisch begrip dat een niet-toerekenbare onmogelijkheid aanduidt om een verplichting na te komen, waardoor de persoon in kwestie van deze verplichting bevrijd wordt. Men gaat er immers van uit dat "niemand gehouden is tot het onmogelijke"

Het adequaat afschermen van persoonsgevens is niet alleen wettelijk verplicht (AVG) maar Odido verklaart zelf dat zij dit uitvoert. Alleen al doordat phishing mogelijk was, is zij in de uitvoering in gebreke gebleven.

Het feit dat via 1 account zoveel klantgegevens gekopieerd zijn toont aan dat de opzet en inrichting van de gegevensbeveiliging drastisch te kort heeft geschoten.

Dat er geen of onvoldoende auditing op deze gegevensbeveiliging is geweest is weliswaar een aanname maar wel een veilige gezien hetgeen er gebeurt is, maakt het des te erger.

Odido heeft m.i. tekort geschoten in opzet, controle en uitvoering van de door haar aan mij als klant contractueel toegezegde, gegevensbeveiliging.
Ik zie niet in waar daar overmacht bij komt kijken.
Reageer met quote
19-02-2026, 17:00 door Anoniem
Door Anoniem:
Door Anoniem: Engelfriet: "Bij een hack die overmacht is, kun je dus geen claims indienen."

Dit kun je niet menen..... Gestolen data was bereikbaar voor een hacker. Los van de vraag of Odido die data überhaubt had moeten hebben is het simple feit dat deze bereikbaar was voor een hacker geen overmacht maar onkunde (en daarmee laakbaar).

Een hack overmacht noemen om daarmee aansprakelijkeid te ontlopen zou niet geaccepteerd moeten worden.

Een hack is geen overmacht. Het is een inbraak. Als bij mij thuis goederen worden weggenomen door een inbraak ben ik daarvoor verzekerd, ook als dat spullen van iemand anders waren (waarvoor ik aansprakelijk ben omdat het bij mij thuis ligt).

Nou nee - de verzekering keert alleen uit als de inbraak "overmacht" was .
Dat is precies hetzelfde hier.

En puur het feit _dat_ er ingebroken kon worden wil dus ook niet zeggen dat jij nalatig was.

Alleen - en dat staat precies in je polisvoorwaarden - moet er wel "voldoende" beveiliging geweest zijn .
Je deur (of je fiets, je auto) e.d. moesten wel op slot gezeten hebben - anders ben je wel nalatig en gaat de verzekering niet uitkeren.

En als je erg grote waarden verzekert, worden de eisen navenant hoger .


Ik neem aan dat Odido uit hoofde van een goede bedrijfsvoering verzekerd is en de schade kan vergoeden (eventueel een eigen risico wat ze zelf moeten betalen).

Met schaal en volume zullen waarschijnlijk geen verzekering hebben - als je groot genoeg bent kun je beter zelf reservering/voorzieningen hebben voor statistische gebeurtenissen .

Maar - net zoals je inbraak voorbeeld - ook als ze een verzekering hebben zal die alleen dekken wanneer ze "genoeg" maatregelen genomen hadden. Dat is precies wat het "overmacht" maakr .
Reageer met quote
19-02-2026, 17:11 door Anoniem
Door Anoniem:
Door Anoniem: Sorry hoor maar als security architect heb ik nieuws voor je. Als je een API met veel te ruime autorisaties aan het internet hangt neem je bewust een risico of je bent gewoon puur incompetent. Dat is geen overmacht, maar domweg een kwestie van incompetentie of grove nalatigheid. Het is domweg te voorkomen dit soort zaken. En dat is simpelweg niet weg te praten omdat je de API hebt laten bouwen en configureren door incompetente figuren. Dit is het gevolg van telkens maar de goedkoopste amateur inhuren op dergelijke technische rollen. Bij geen enkele HR afdeling zowat heeft men enig idee welke eisen daadwerkelijk aan een programmeur moeten worden gesteld. En de meeste zogenaamde security experts met hun zwemdiploma A CISSP certificering snappen technisch niet waar het over gaat. De incompetentie tezamen met de dwangmatige behoefte om de goedkoopste amateurs in te huren die op papier competent lijken te zijn is een beproeft recept om in dit soort IT rampen verzeild te raken. Dit komt ook omdat de HR afdeling en middel management vaak geen idee hebben welke inhoudelijk kennis feitelijk vereist is om op een verantwoorde wijze dit soort opdrachten te laten uitvoeren.

Dit is het gevolg van het laten leiden van IT projecten door niet technisch inhoudelijk sterke mensen. Maar het inhuren van goedkope krachten die vaak weinig tot geen behoorlijke technische kennis hebben. Er zijn welk degelijk echte experts die in te huren zijn waarmee dit soort rampen kunnen worden voorkomen. Maar dat kost geld en tijd. Iets wat de gemiddelde projectleider niet wil en die accepteert daarmee impliciet een groot risico wat ver boven zijn paygrade zit.
Wie zegt dat het een API was?

Volgens mij was de hack een MFA approval geweest vanuit een normale gebruiker?

Door Anoniem:
Door Anoniem:
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....

Is dat wel zo?
De oorzaak van de hack kwam door "domme" klantenservice medewerkers.
Is een IT afdeling daar verantwoordelijk voor of is dat de HR afdeling?
Sinds wanneer heeft een klantenservice medewerker toegang tot de volledige database? Need to know moet worden gevolgd, ook voor IT medewerkers. Als dat niet gebeurd is dan is Odido wel degelijk nalatig, zelfs onder oude wetgeving want ze hebben niet de nodige maatregelen ter bescherming genomen. Onder NIS2 gaan ze helemaal nat, helaas is de CBW (cyber beveiligings wet, NIS2 implementatie in de Nederlandse wetgeving) nog niet door de Kamers.
Een klantenservice medewerker juist toegang eigenlijk bijna al deze data nodig, om een klant te helpen.

Nee, een klantservice medewerker heeft toegang nodig tot de klant die hij op dat moment helpt, niet tot de 6,2 miljoen andere klanten en al helemaal niet tot paspoortnummers. Need to know. Meer niet. Simpel en doeltreffend uitgangspunt.
Reageer met quote
19-02-2026, 19:03 door Anoniem
Door Anoniem:
Door Anoniem: Sorry hoor maar als security architect heb ik nieuws voor je. Als je een API met veel te ruime autorisaties aan het internet hangt neem je bewust een risico of je bent gewoon puur incompetent. Dat is geen overmacht, maar domweg een kwestie van incompetentie of grove nalatigheid. Het is domweg te voorkomen dit soort zaken. En dat is simpelweg niet weg te praten omdat je de API hebt laten bouwen en configureren door incompetente figuren. Dit is het gevolg van telkens maar de goedkoopste amateur inhuren op dergelijke technische rollen. Bij geen enkele HR afdeling zowat heeft men enig idee welke eisen daadwerkelijk aan een programmeur moeten worden gesteld. En de meeste zogenaamde security experts met hun zwemdiploma A CISSP certificering snappen technisch niet waar het over gaat. De incompetentie tezamen met de dwangmatige behoefte om de goedkoopste amateurs in te huren die op papier competent lijken te zijn is een beproeft recept om in dit soort IT rampen verzeild te raken. Dit komt ook omdat de HR afdeling en middel management vaak geen idee hebben welke inhoudelijk kennis feitelijk vereist is om op een verantwoorde wijze dit soort opdrachten te laten uitvoeren.

Dit is het gevolg van het laten leiden van IT projecten door niet technisch inhoudelijk sterke mensen. Maar het inhuren van goedkope krachten die vaak weinig tot geen behoorlijke technische kennis hebben. Er zijn welk degelijk echte experts die in te huren zijn waarmee dit soort rampen kunnen worden voorkomen. Maar dat kost geld en tijd. Iets wat de gemiddelde projectleider niet wil en die accepteert daarmee impliciet een groot risico wat ver boven zijn paygrade zit.
Wie zegt dat het een API was?

Volgens mij was de hack een MFA approval geweest vanuit een normale gebruiker?

Door Anoniem:
Door Anoniem:
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....

Is dat wel zo?
De oorzaak van de hack kwam door "domme" klantenservice medewerkers.
Is een IT afdeling daar verantwoordelijk voor of is dat de HR afdeling?
Sinds wanneer heeft een klantenservice medewerker toegang tot de volledige database? Need to know moet worden gevolgd, ook voor IT medewerkers. Als dat niet gebeurd is dan is Odido wel degelijk nalatig, zelfs onder oude wetgeving want ze hebben niet de nodige maatregelen ter bescherming genomen. Onder NIS2 gaan ze helemaal nat, helaas is de CBW (cyber beveiligings wet, NIS2 implementatie in de Nederlandse wetgeving) nog niet door de Kamers.
Een klantenservice medewerker juist toegang eigenlijk bijna al deze data nodig, om een klant te helpen.

Dan kun je nog steeds prima meten hoeveel klantgegevens de topgebruikers tijdens hun shift opvragen.
Ga daar met een voorzichtige factor 10 boven zitten en je hebt geen kans dat er binnen 1 gebruikerssessie ongezien alle (of de bulk van) de klantgegevens worden ingezien.
Wat dan overblijft is een slow&steady aanval waarbij een aanvaller over een lager tijdbestek gegevens oogst.
Als je als goed werkgever ook nog wil zorgen dat je medewerkers gezond blijven, dan stel je een limiet op de werktijd (toegangstijd tot persoonsgegevens) in.
Of je dat volledig automatiseert, of gewoon excessen direct bij een leidinggevende dropt als soort van alert is niet zo relevant, een vroeg signaal afgeven (met iets van een escalatiepad zodat je het niet eventjes kunt missen) is met goed getraind personeel mogelijk al voldoende.

Ik weet dat er veel legacy in zulke systemen zit, en dat je de operatie van je klantenservice niet zomaar stop kunt zetten, maar iets als hierboven lijkt me toch vaak wel haalbaar..
De bulk van de medewerkers geen zoekoptie bieden en gewoon een case pushen is misschien ook wel mogelijk, dan minimaliseer je het aantal ogen dat überhaupt kan gaan grasduinen in de data en verklein je het aanvalsoppervlak aanzienlijk.

Ben benieuwd of ze wellicht nog andere slimmigheden hebben bedacht, maar als het gewoon ongemonitord vrij zoeken is, dan vind ik wel dat er iemand bij Odido heeft lopen slapen.
Reageer met quote
20-02-2026, 07:35 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Sorry hoor maar als security architect heb ik nieuws voor je. Als je een API met veel te ruime autorisaties aan het internet hangt neem je bewust een risico of je bent gewoon puur incompetent. Dat is geen overmacht, maar domweg een kwestie van incompetentie of grove nalatigheid. Het is domweg te voorkomen dit soort zaken. En dat is simpelweg niet weg te praten omdat je de API hebt laten bouwen en configureren door incompetente figuren. Dit is het gevolg van telkens maar de goedkoopste amateur inhuren op dergelijke technische rollen. Bij geen enkele HR afdeling zowat heeft men enig idee welke eisen daadwerkelijk aan een programmeur moeten worden gesteld. En de meeste zogenaamde security experts met hun zwemdiploma A CISSP certificering snappen technisch niet waar het over gaat. De incompetentie tezamen met de dwangmatige behoefte om de goedkoopste amateurs in te huren die op papier competent lijken te zijn is een beproeft recept om in dit soort IT rampen verzeild te raken. Dit komt ook omdat de HR afdeling en middel management vaak geen idee hebben welke inhoudelijk kennis feitelijk vereist is om op een verantwoorde wijze dit soort opdrachten te laten uitvoeren.

Dit is het gevolg van het laten leiden van IT projecten door niet technisch inhoudelijk sterke mensen. Maar het inhuren van goedkope krachten die vaak weinig tot geen behoorlijke technische kennis hebben. Er zijn welk degelijk echte experts die in te huren zijn waarmee dit soort rampen kunnen worden voorkomen. Maar dat kost geld en tijd. Iets wat de gemiddelde projectleider niet wil en die accepteert daarmee impliciet een groot risico wat ver boven zijn paygrade zit.
Wie zegt dat het een API was?

Volgens mij was de hack een MFA approval geweest vanuit een normale gebruiker?

Door Anoniem:
Door Anoniem:
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....

Is dat wel zo?
De oorzaak van de hack kwam door "domme" klantenservice medewerkers.
Is een IT afdeling daar verantwoordelijk voor of is dat de HR afdeling?
Sinds wanneer heeft een klantenservice medewerker toegang tot de volledige database? Need to know moet worden gevolgd, ook voor IT medewerkers. Als dat niet gebeurd is dan is Odido wel degelijk nalatig, zelfs onder oude wetgeving want ze hebben niet de nodige maatregelen ter bescherming genomen. Onder NIS2 gaan ze helemaal nat, helaas is de CBW (cyber beveiligings wet, NIS2 implementatie in de Nederlandse wetgeving) nog niet door de Kamers.
Een klantenservice medewerker juist toegang eigenlijk bijna al deze data nodig, om een klant te helpen.

Dan kun je nog steeds prima meten hoeveel klantgegevens de topgebruikers tijdens hun shift opvragen.
Ga daar met een voorzichtige factor 10 boven zitten en je hebt geen kans dat er binnen 1 gebruikerssessie ongezien alle (of de bulk van) de klantgegevens worden ingezien.
Wat dan overblijft is een slow&steady aanval waarbij een aanvaller over een lager tijdbestek gegevens oogst.
Als je als goed werkgever ook nog wil zorgen dat je medewerkers gezond blijven, dan stel je een limiet op de werktijd (toegangstijd tot persoonsgegevens) in.
Of je dat volledig automatiseert, of gewoon excessen direct bij een leidinggevende dropt als soort van alert is niet zo relevant, een vroeg signaal afgeven (met iets van een escalatiepad zodat je het niet eventjes kunt missen) is met goed getraind personeel mogelijk al voldoende.

Ik weet dat er veel legacy in zulke systemen zit, en dat je de operatie van je klantenservice niet zomaar stop kunt zetten, maar iets als hierboven lijkt me toch vaak wel haalbaar..
De bulk van de medewerkers geen zoekoptie bieden en gewoon een case pushen is misschien ook wel mogelijk, dan minimaliseer je het aantal ogen dat überhaupt kan gaan grasduinen in de data en verklein je het aanvalsoppervlak aanzienlijk.

Ben benieuwd of ze wellicht nog andere slimmigheden hebben bedacht, maar als het gewoon ongemonitord vrij zoeken is, dan vind ik wel dat er iemand bij Odido heeft lopen slapen.

Oke, dit was voor zover ik begreep een Salesforce oplossing (inherent cloud/SaaS). Achterliggend zal vast een legacy bronsysteem zijn geweest, maar de 'client facing' applicatie was Salesforce met vermoedelijke AAD authenticatie en dus inherent MFA.

Nu weet ik niet of het hier gaat om Nederlandse of niet Nederlandse medewerkers die slachtoffer zijn geworden van SE, maar je zou hooguit kunnen stellen dat er een bedrijfskeuze is gemaakt in wie vanuit waar mag inloggen. Je kan natuurlijk zeggen 'we loggen hoeveel klanten worden opgezocht of matchen dit aan het werkrooster van de medewerker', dat kan. Dan loopt je SOC volledig vol met onnozele tickets die ze (want het zijn mensen) uiteindelijk gaan uitfilteren.

|Overigens zou het zijn gegaan om meerdere medewerkers die overgehaald zijn. Dit geeft eerder een fout aan in het werkproces van de IT afdeling(en) en de awareness die hieraan besteedt wordt, dan iets anders. Er is ook nergens gezegd *dat* er 6+ miljoen records geëxfiltreerd zijn voor zover ik heb gelezen, alleen dat dit 'de mogelijke pool aan slachtoffers was'.

Wat je kunt stellen, is dat Odido zichzelf niet heeft gehouden aan hun eigen op- en vastgelegde bewaartermijnen voor persoonsgegevens. Wat je kunt stellen, is dat er niet genoeg aandacht is besteed aan het niet hardenen van AAD logins (wat net zo goed een geaccepteerd risico kan zijn) en wat je kunt zeggen is dat het verwonderlijk is dat er geen proces is voor het zelf nabellen van de IT afdeling na X tijd als ze 'iets in je account moesten doen'. Maar heel eerlijk: Al waren er 'maar' 5000 records gejat bij Odido, had het nog steeds een groot probleem geweest.
Reageer met quote
20-02-2026, 11:50 door Anoniem
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....
zover nu bekent is komt het door een phising en een nep website waar 2tal medewerkers hun gegevens hebben ingevult. op die manier zijn ze binnen gekomen (wat nu bekent is) dus niks met nalatigheid. enige nalatigheid wat ze misschien hebben is awareness trainingen maar als dat ook in orde is houd het snel up
Reageer met quote
20-02-2026, 13:03 door Anoniem
Door Anoniem:
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....
zover nu bekent is komt het door een phising en een nep website waar 2tal medewerkers hun gegevens hebben ingevult. op die manier zijn ze binnen gekomen (wat nu bekent is) dus niks met nalatigheid. enige nalatigheid wat ze misschien hebben is awareness trainingen maar als dat ook in orde is houd het snel up

Dat van die 2 medewerkers en phishing is voor de buhne. Niet voor serieuze security mensen.
Reageer met quote
20-02-2026, 17:42 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Sorry hoor maar als security architect heb ik nieuws voor je. Als je een API met veel te ruime autorisaties aan het internet hangt neem je bewust een risico of je bent gewoon puur incompetent. Dat is geen overmacht, maar domweg een kwestie van incompetentie of grove nalatigheid. Het is domweg te voorkomen dit soort zaken. En dat is simpelweg niet weg te praten omdat je de API hebt laten bouwen en configureren door incompetente figuren. Dit is het gevolg van telkens maar de goedkoopste amateur inhuren op dergelijke technische rollen. Bij geen enkele HR afdeling zowat heeft men enig idee welke eisen daadwerkelijk aan een programmeur moeten worden gesteld. En de meeste zogenaamde security experts met hun zwemdiploma A CISSP certificering snappen technisch niet waar het over gaat. De incompetentie tezamen met de dwangmatige behoefte om de goedkoopste amateurs in te huren die op papier competent lijken te zijn is een beproeft recept om in dit soort IT rampen verzeild te raken. Dit komt ook omdat de HR afdeling en middel management vaak geen idee hebben welke inhoudelijk kennis feitelijk vereist is om op een verantwoorde wijze dit soort opdrachten te laten uitvoeren.

Dit is het gevolg van het laten leiden van IT projecten door niet technisch inhoudelijk sterke mensen. Maar het inhuren van goedkope krachten die vaak weinig tot geen behoorlijke technische kennis hebben. Er zijn welk degelijk echte experts die in te huren zijn waarmee dit soort rampen kunnen worden voorkomen. Maar dat kost geld en tijd. Iets wat de gemiddelde projectleider niet wil en die accepteert daarmee impliciet een groot risico wat ver boven zijn paygrade zit.
Wie zegt dat het een API was?

Volgens mij was de hack een MFA approval geweest vanuit een normale gebruiker?

Door Anoniem:
Door Anoniem:
Door Anoniem: ja het lijkt me wel odido is nalatig geweest het IT gebeuren was niet up to date.....

Is dat wel zo?
De oorzaak van de hack kwam door "domme" klantenservice medewerkers.
Is een IT afdeling daar verantwoordelijk voor of is dat de HR afdeling?
Sinds wanneer heeft een klantenservice medewerker toegang tot de volledige database? Need to know moet worden gevolgd, ook voor IT medewerkers. Als dat niet gebeurd is dan is Odido wel degelijk nalatig, zelfs onder oude wetgeving want ze hebben niet de nodige maatregelen ter bescherming genomen. Onder NIS2 gaan ze helemaal nat, helaas is de CBW (cyber beveiligings wet, NIS2 implementatie in de Nederlandse wetgeving) nog niet door de Kamers.
Een klantenservice medewerker juist toegang eigenlijk bijna al deze data nodig, om een klant te helpen.

Nee, een klantservice medewerker heeft toegang nodig tot de klant die hij op dat moment helpt, niet tot de 6,2 miljoen andere klanten
Zo werkt een klanten service niet. Als je niet weet of begrijpt hoe dit soort afdelingen werken, kom dan ook niet met adviezen.

en al helemaal niet tot paspoortnummers. Need to know. Meer niet. Simpel en doeltreffend uitgangspunt.
Dit is wel een punt, maar we weten ook niet exact waarom deze beschikbaar waren, of hoe.

Maar dit roept wel vragen op, maar je eerste punt totaal niet.
Reageer met quote
23-02-2026, 11:24 door Anoniem
Door Anoniem: Sorry hoor maar als security architect heb ik nieuws voor je. Als je een API met veel te ruime autorisaties aan het internet hangt neem je bewust een risico of je bent gewoon puur incompetent. Dat is geen overmacht, maar domweg een kwestie van incompetentie of grove nalatigheid. Het is domweg te voorkomen dit soort zaken. En dat is simpelweg niet weg te praten omdat je de API hebt laten bouwen en configureren door incompetente figuren. Dit is het gevolg van telkens maar de goedkoopste amateur inhuren op dergelijke technische rollen. Bij geen enkele HR afdeling zowat heeft men enig idee welke eisen daadwerkelijk aan een programmeur moeten worden gesteld. En de meeste zogenaamde security experts met hun zwemdiploma A CISSP certificering snappen technisch niet waar het over gaat. De incompetentie tezamen met de dwangmatige behoefte om de goedkoopste amateurs in te huren die op papier competent lijken te zijn is een beproeft recept om in dit soort IT rampen verzeild te raken. Dit komt ook omdat de HR afdeling en middel management vaak geen idee hebben welke inhoudelijk kennis feitelijk vereist is om op een verantwoorde wijze dit soort opdrachten te laten uitvoeren.

Dit is het gevolg van het laten leiden van IT projecten door niet technisch inhoudelijk sterke mensen. Maar het inhuren van goedkope krachten die vaak weinig tot geen behoorlijke technische kennis hebben. Er zijn welk degelijk echte experts die in te huren zijn waarmee dit soort rampen kunnen worden voorkomen. Maar dat kost geld en tijd. Iets wat de gemiddelde projectleider niet wil en die accepteert daarmee impliciet een groot risico wat ver boven zijn paygrade zit.

Daar hebben we weer een titel gooier die het nodig vind om collega's af te vallen.
Nooit competent genoeg geweest om CISSP te halen en nu maar afgeven op een ander terwijl de oorzaak nog niet eens vaststaat.
Reageer met quote
23-02-2026, 13:19 door eMilt
Nee, een klantservice medewerker heeft toegang nodig tot de klant die hij op dat moment helpt, niet tot de 6,2 miljoen andere klanten
Zo werkt een klanten service niet. Als je niet weet of begrijpt hoe dit soort afdelingen werken, kom dan ook niet met adviezen.
Nou, hij heeft wel degelijk gelijk. Een klantenservice medewerker moet bij de gegevens van die ene klant kunnen die hij/zij op dat moment aan de telefoon heeft. Dat kan bijv. simpel door die medewerker het 06 nummer te laten invullen (al dan niet automatisch ingevuld aan de hand van CallerID) en extra aan de klant de postcode/huisnummer en/of de geboortedatum te vragen. Die gegevens moeten matchen om toegang te krijgen tot de gegevens van die betreffende klant. Dit wordt mij ook zeer regelmatig gevraagd als ik een klantenservice of zoiets bel. Een klantenservice medewerker hoeft zeker geen mogelijkheid te hebben om de gegevens van 6,2 miljoen klanten te downloaden.
Reageer met quote
24-02-2026, 00:38 door Anoniem
Hoe moeten we dit relaas zien in het kader van

https://infocuria.curia.europa.eu/tabs/document?source=document&text=&docid=303866&pageIndex=0&doclang=nl&mode=lst&dir=&occ=first&part=1&cid=3394677

waar de Vierde Kamer geconcludeerd heeft dat Artikel 82 lid 1 van de AVG uitgelegd moet worden als zijnde dat het begrip "immateriële schade" (zoals deze binnen de AVG geclaimd zou kunnen worden) uitgelegd moet worden als ook basale zaken zoals vrees voor misbruik te omvatten. Alsmede het feit dat het artikel uitgelegd moet worden zich te verzetten tegen het in acht nemen van de schuldvraag van de verwerkingsverantwoordelijke voor het beoordelen van de schadevergoeding voor dit soort gevallen?

Het lijkt er dan op dat de notie dat alle schade causaal bewezen moet zijn, met deze uitspraak van Sept. jl. achterhaald is.
Reageer met quote
25-02-2026, 19:43 door Anoniem
Bij diefstal uit je huis heb je twee mogelijkheden. Er is sprake van braak of er is sprake van insluiping. Bij braak heeft met iets moeten vernielen om binnen te komen. Bij insluiping stond er iets open of had men een passende sleutel dan wel gereedschap om het slot te openen zonder sporen achter te laten. Juridisch en verzekeringstechnisch maakt dit veel verschil.
Wat is een hack? Er is hier geen sprake van geweld gebruiken want er is niets kapot gemaakt of geforceerd. Wel is er een weg naar binnen gevonden. Dat kan via software waarbij een slim geprepareerde string één of meerdere malen naar de betreffende site is gestuurd zodat er een weg opengezet kon worden om binnen te komen. De rechten, die daarbij verkregen werden, kunnen al dan niet voldoende zijn om 6 miljoen records te gaan downloaden. Ga je naar binnen via de credentials van een medewerker dan heb je toegang tot alles waartoe deze medewerker toegang had en kun je doen wat deze medewerker allemaal kan doen. Dus, waarom kan een medewerker 6 miljoen privacy gevoelige records downloaden nota bene via de internet verbinding van het bedrijf? Op een usb-stick o.i.d moet dat niet eens kunnen. Naar buiten moet sowieso nooit kunnen. Waarom geen vertraging van b.v. 4 uur voor dergelijke downloads en dan nog na expliciet door het systeem begeleide goedkeur door een manager? Waarom kan zoiets überhaupt? Is hier wel goed nagedacht door mensen met verstand van zaken?
Reageer met quote
26-02-2026, 13:01 door Anoniem
Door Anoniem: Engelfriet: "Bij een hack die overmacht is, kun je dus geen claims indienen."

Dit kun je niet menen..... Gestolen data was bereikbaar voor een hacker. Los van de vraag of Odido die data überhaubt had moeten hebben is het simple feit dat deze bereikbaar was voor een hacker geen overmacht maar onkunde (en daarmee laakbaar).

Een hack overmacht noemen om daarmee aansprakelijkeid te ontlopen zou niet geaccepteerd moeten worden.

Bij overmacht moet je spreken van ze voldeden volledig aan de eis die wordt gesteld voor het bewaren van persoons gegevens volgens bepaalde wet en regelgeving ook wel bekend als NEN of ISO.
Dus als er volledig aan alle eisen is voldaan is het overmacht, blijkt het dat er door nalatigheid diverse persoonsgegevens niet op de juiste manieren werden beveiligd is het onkunde en kan odido dus aansprakelijk worden gesteld en mag je vergoeding eisen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components