Nieuws
image

Toezichthouders onderzoeken beveiliging en bewaartermijnen van Odido

donderdag 26 maart 2026, 13:29 door Redactie, 11 reacties

De Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) doen onderzoek naar hoelang Odido gegevens van klanten bewaarde en of het bedrijf gegevens wel goed beveiligde. Aanleiding is het recente datalek waarbij de gegevens van ruim zes miljoen klanten werden gestolen. De verantwoordelijke criminelen publiceerden de data op internet nadat Odido weigerde het gevraagde losgeld te betalen.

Odido waarschuwde slachtoffers van het datalek. Meerdere gewaarschuwde personen bleken al jaren geen klant meer van het bedrijf te zijn. Onlangs meldde RTL Nieuws dat Odido gegevens van oud-klanten jaren langer bewaarde dan het zelf beweert. In de online gepubliceerde dataset werden gegevens gevonden van mensen die al vijf jaar geen klant meer zijn.

"Odido hanteert in het systeem een termijn van twee jaar nadat alle wederzijdse verplichtingen zijn afgehandeld. Had je na je overstap nog openstaande rekeningen, servicevragen die nog niet afgehandeld waren, dan is de twee jaar gestart op het moment dat rekeningen betaald zijn en vragen afgehandeld waren", zo laat Odido op de eigen informatiepagina weten op de vraag waarom klanten die meer dan twee jaar geleden zijn overgestapt toch zijn ingelicht dat hun gegevens zijn buitgemaakt.

De Autoriteit Persoonsgegevens ontving honderden klachten van mensen die aangaven dat hun gegevens gelekt waren, terwijl ze al lange tijd geen klant meer waren bij Odido. "Het datalek heeft veel losgemaakt in de samenleving. De AP neemt alle signalen serieus. In de afgelopen tijd heeft de AP al informatie bij Odido opgevraagd over de bewaartermijnen van gegevens. De AP ziet aanleiding om tot formeel onderzoek over te gaan", zegt AP-vicevoorzitter Monique Verdier:

De RDI en Autoriteit Persoonsgegevens doen daarnaast samen onderzoek naar de technische beveiliging van gegevens door Odido. Hierbij neemt de Rijksinspectie Digitale Infrastructuur het voortouw. Volgens berichtgeving van de NOS zou de datadiefstal door middel van een telefonische phishingaanval hebben plaatsgevonden. Een aanvalsmethode waarvoor meerdere partijen eerder al hadden gewaarschuwd. In het onderzoek richt de AP zich op de beveiliging van persoonsgegevens binnen de data en beschikt de RDI over specifieke kennis van de telecomsector. Dat is volgens de toezichthouders de reden dat er wordt samengewerkt.

Reacties (11)
Reageer met quote
Gisteren, 13:57 door Anoniem
De Palin-droom Obibio eh, Odidio. Welke kant gaat de RDI nu de framboze zenders op laten rennen en op welke frequenties. Moeten we allemaal demente bejaarde met een noodknoparmband of ketting gaan spelen om die aanstichters van de Odidio hacklek in een massa round-up op te gaan pakken?
Reageer met quote
Gisteren, 14:07 door Anoniem
Zonder ook maar *iets* de feiten te kennen, kun je de antwoorden aan zien komen:
Je ze bewaarden die data te lang.
Nee die data zijn niet beveiligd.
Ja, ze zijn schuldig.

En vervolgens komt met weg met een symbolische boete ipv. dat de toko gewoon ontmanteld wordt.
Reageer met quote
Gisteren, 15:03 door Anoniem
Wel lief van ze dat Odido ruimschoots de tijd heeft gekregen om bewijslast te vernietigen.
Daarnaast kent de AP de AVG zelf niet en de RDI is niet vies van dark pattern. De perfecte organisaties dus om dit te onderzoeken.
Reageer met quote
Gisteren, 16:36 door Anoniem
Heel goed!
Reageer met quote
Gisteren, 17:45 door Anoniem
Door Anoniem: Zonder ook maar *iets* de feiten te kennen, kun je de antwoorden aan zien komen:
Je ze bewaarden die data te lang.
Nee die data zijn niet beveiligd.
Ja, ze zijn schuldig.

En vervolgens komt met weg met een symbolische boete ipv. dat de toko gewoon ontmanteld wordt.

Dan kom je in de politieke context die niet genoemd mag worden, want de psychiater die zich niet aan het beroepsgeheim hield, maar zich niet schaamde voor haar politieke voorkeur die ze via Obibio kenbaar maakte, kan die niet geplukt worden? En via het riool der pseudowetenschap in dwangbuis afgevoerd worden. Dat is pas leuke televise voor The Donald!
Reageer met quote
Gisteren, 17:48 door Anoniem
Persoonsgegevens in de financiële administratie worden 7 jaar bewaard op basis van fiscale bewaarplicht, dus facturen en de nodige info daarbij, zitten hoe dan ook 7 jaar bij Odido. Als zij dit korter dan 7 jaar bewaren, overtreden ze Artikel 52 lid 4 van de Algemene wet inzake rijksbelastingen. Dus die 2 jaar gaat op voor belgegevens etc, maar niet voor de sappigere details als NAW, geboorte datum en IBAN helaas. En het enge is, dat dit voor alle bedrijven in NL geld, ongeacht van gepubliceert bewaartermijn of verzoek tot vergetelheid, die gegevens blijven.

Neemt niet weg dat de tech omgeving of beheersmethoden bij odido schandalig hard gefaald hebben. Vermoed met name door uitbesteding van de klantenservice naar andere landen etc.
Reageer met quote
Gisteren, 19:24 door Anoniem
Nou, Odido doet het vast in de broek, nu een foei-gesprek in de lijn der verwachting ligt, in plaats van een megaboete op basis van de omzet en/of winst. De AP in NL doet hélemaal niks. Hebben ze ook geen geld voor, maar ga nou niet doen alsof je wat voorstelt.
Reageer met quote
Gisteren, 21:42 door Anoniem
Odido hanteert in het systeem een termijn van twee jaar nadat alle wederzijdse verplichtingen zijn afgehandeld. Had je na je overstap nog openstaande rekeningen, servicevragen die nog niet afgehandeld waren, dan is de twee jaar gestart op het moment dat rekeningen betaald zijn en vragen afgehandeld waren
Mijn gehackte account (zonder een gekoppelde smartphone) bestaat nog steeds (paswoord laten resetten) terwijl ik al 7j weg ben.
Reageer met quote
Vandaag, 07:42 door Anoniem
Door Anoniem: Zonder ook maar *iets* de feiten te kennen, kun je de antwoorden aan zien komen:
Je ze bewaarden die data te lang.
Nee die data zijn niet beveiligd.
Ja, ze zijn schuldig.

En vervolgens komt met weg met een symbolische boete ipv. dat de toko gewoon ontmanteld wordt.
A
Aparte conclusie, je hebt inhoudelijke kennis?

Maar, ik trek de conclusie, de data was wel beveiligd, maar niet goed genoeg.

En misschien was er wel een automation dat de data niet goed opschoonde, waardoor de schuld misschien wel heel anders ligt.
Het was dan namelijk wel gemaakt en gedacht, alleen de controle van de uitvoering was niet goed.

Zo maar een ideetje vanuit mij, onder kennis van hoe Odido deze procedures gedacht heeft.

Maar blijkbaar heb jij meer inhoudelijke kennis op dit gebied, dat wat ik kan bedenken, wat net zo goed mogelijk zou kunnen zijn.
Reageer met quote
Vandaag, 08:50 door Anoniem
Door Anoniem: Persoonsgegevens in de financiële administratie worden 7 jaar bewaard op basis van fiscale bewaarplicht, dus facturen en de nodige info daarbij, zitten hoe dan ook 7 jaar bij Odido. Als zij dit korter dan 7 jaar bewaren, overtreden ze Artikel 52 lid 4 van de Algemene wet inzake rijksbelastingen. Dus die 2 jaar gaat op voor belgegevens etc, maar niet voor de sappigere details als NAW, geboorte datum en IBAN helaas. En het enge is, dat dit voor alle bedrijven in NL geld, ongeacht van gepubliceert bewaartermijn of verzoek tot vergetelheid, die gegevens blijven.

Neemt niet weg dat de tech omgeving of beheersmethoden bij odido schandalig hard gefaald hebben. Vermoed met name door uitbesteding van de klantenservice naar andere landen etc.

Dit klopt, maar de hack betrof het crm systeem. Als alle contractgerelateerde gegevens in een ander financieel systeem zitten, dan hadden er hier geen kopieen hoeven zijn. En als het CRM systeem een unieke rol speelt in deze bewaarplicht, dan zitten er in de CRM-dataset zeker heel veel gegevens niet onder deze bewaarplicht valt, maar wel onder de verplichting om data niet te lang te bewaren.
Als jij een PC in de winkel koopt en betaalt met je pinpas, dan is toch ook enkel die transactie (en alles daar omheen in het POS) voldoende om aan de wet te voldoen?
Dus ja: Odido moet alle transacties bewaren en in hun geval ook een kopie contract en de mutaties in dat contract. Maar email en telefoon als apart registratieveld? Die zijn vooral handig om heel veel later nog eens iemand commercieel te kunnen benaderen. Daarvan zou je dan kunnen zeggen dat er een jaartje een belang voor kan zijn. Maar daarna niet meer.
Reageer met quote
Vandaag, 08:52 door Anoniem
Door Anoniem: Persoonsgegevens in de financiële administratie worden 7 jaar bewaard op basis van fiscale bewaarplicht, dus facturen en de nodige info daarbij, zitten hoe dan ook 7 jaar bij Odido. Als zij dit korter dan 7 jaar bewaren, overtreden ze Artikel 52 lid 4 van de Algemene wet inzake rijksbelastingen. Dus die 2 jaar gaat op voor belgegevens etc, maar niet voor de sappigere details als NAW, geboorte datum en IBAN helaas. En het enge is, dat dit voor alle bedrijven in NL geld, ongeacht van gepubliceert bewaartermijn of verzoek tot vergetelheid, die gegevens blijven.

Neemt niet weg dat de tech omgeving of beheersmethoden bij odido schandalig hard gefaald hebben. Vermoed met name door uitbesteding van de klantenservice naar andere landen etc.

Bewaren van een factuur is natuurlijk wel iets anders dan het actief, online hebben van een database met de gegegevens. dat bewaar termijn kan ook desnoods worden gedaan op papier of wegschrijven offline als men zo aanvraag doet of dat bewaar termijn conform AVG is verstreken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components