Odido Databreach 2026: Telecomgigant hield klantgegevens 5-10 jaar te lang

Odido Databreach 2026: Telecomgigant hield klantgegevens 5-10 jaar te lang

Nederlandse telecomprovider Odido is betrapt op het bewaren van klantgegevens 5-10 jaar langer dan het aangegeven tweejarige bewaarbeleid, waardoor miljoenen voormalige klanten blootgesteld zijn aan een enorme databreach die in februari 2026 6,2 miljoen accounts compromitteerde. De Autoriteit Persoonsgegevens onderzoekt nu wat privacyadvocaat Daniëlle Molenkamp een 'kwalijke zaak' noemt, die GDPR-principes schendt en voormalige klanten aanzienlijk risico blootstelt.

Wat gebeurde er in de Odido-databreach?

Op 7-8 februari 2026 kregen onbekende hackers toegang tot Odido's klantcontactensysteem en downloadden uitgebreide klantinformatie. De breach trof ongeveer 6,2 miljoen klantaccounts, ongeveer een derde van de Nederlandse bevolking. De gestolen gegevens omvatten:

• Klantnamen en contactgegevens
• Post- en e-mailadressen
• Telefoonnummers en klantaccountnummers
• Bankrekeningnummers (IBAN)
• Geboortedata
• Overheids-ID-details (paspoort/rijbewijsnummers)

Hoewel Odido beweert dat geen wachtwoorden, factuurgegevens of gespreksgegevens gecompromitteerd zijn, heeft de blootstelling van gevoelige identificatiegegevens massale klantverliezen veroorzaakt. Volgens Internetten.nl betrof bijna een kwart van alle providerwissels in de vier dagen na de breach Odido-klanten die vertrokken - drie keer het normale tempo.

De schending van gegevensbewaring

Wat is GDPR-gegevensbewaring?

Onder de Algemene Verordening Gegevensbescherming mogen organisaties persoonsgegevens alleen bewaren zolang nodig voor het oorspronkelijke verwerkingsdoel. Hoewel GDPR geen concrete bewaartermijnen specificeert, moeten organisaties redelijke tijdslimieten vaststellen en documenteren op basis van hun specifieke situatie. Odido's privacybeleid stelde expliciet dat ex-klantgegevens niet langer dan twee jaar na contractbeëindiging bewaard zouden worden.

De recente breachmeldingen onthulden echter een schokkende realiteit: klanten die 5-10 jaar geleden hun contract beëindigden, kregen breachmeldingen, wat aangeeft dat Odido hun gegevens ver buiten het aangegeven beleid bewaarde. Privacyadvocaat Daniëlle Molenkamp, een gecertificeerde privacyprofessional (CIPP/E), vertelde BNR: 'Wettelijk gezien is er niet één bepaalde bewaartermijn die voor gegevens geldt. Er moet altijd worden gekeken naar hoe lang het bewaren van gegevens nodig is. Voor Odido was dat een termijn van twee jaar, maar blijkbaar hanteren ze die niet en dat is kwalijk.'

Juridische implicaties en mogelijke sancties

De Autoriteit Persoonsgegevens heeft bevestigd dat het de zaak zal onderzoeken. Mogelijke gevolgen voor Odido zijn:

Dit is niet Odido's eerste regulatorische kwestie. In een eerdere zaak onder het T-Mobile-merk kreeg het bedrijf een boete van €175.000 voor onjuiste verwerking van verkeers- en locatiegegevens in samenwerking met statistiekbureau CBS.

Impact op klanten en marktreactie

De breach heeft aanzienlijke consumentenweerstand veroorzaakt. Klanten eisen compensatie voor kosten gerelateerd aan het vervangen van gecompromitteerde identificatiedocumenten. Volgens AD-rapporten vragen getroffen individuen Odido om kosten voor nieuwe paspoorten en rijbewijzen te dekken, die €60-€100 per stuk kunnen kosten in Nederland.

Marktanalisten merken op dat deze breach komt op een gevoelig moment voor Odido, dat opereert onder private equity-eigendom door Apax Partners en Warburg Pincus consortium. Het incident roept vragen op over cybersecurity-investeringsniveaus en naleving van de EU's NIS2-cybersecurityvereisten voor telecomproviders.

Telecommunicatiesector databreaches zijn steeds gebruikelijker geworden, met Odido's incident na soortgelijke breaches bij andere Europese telecombedrijven. De schending van gegevensbewaring voegt echter een extra laag regulatorisch risico toe die tot strengere sancties kan leiden.

Wat moeten getroffen klanten doen?

Als u een breachmelding van Odido heeft ontvangen, overweeg deze stappen:

1. Monitor uw accounts: Controleer bankafschriften en kredietrapporten op verdachte activiteit
2. Overweeg documentvervanging: Evalueer of gecompromitteerde identificatiedocumenten vervangen moeten worden
3. Documenteer kosten: Houd records bij van kosten gerelateerd aan de breach
4. Bekijk compensatieopties: Raadpleeg juridische professionals over mogelijke claims
5. Overweeg providerwissel: Onderzoek alternatieve telecomproviders als u vertrouwen in Odido verloren heeft

FAQ: Odido Databreach 2026

Hoeveel klanten zijn getroffen door de Odido-databreach?

Ongeveer 6,2 miljoen klantaccounts zijn gecompromitteerd, ongeveer een derde van de Nederlandse bevolking.

Welke gegevens zijn gestolen in de Odido-breach?

Hackers kregen toegang tot namen, adressen, telefoonnummers, e-mailadressen, geboortedata, bankrekeningnummers (IBAN) en overheids-ID-details inclusief paspoort- en rijbewijsnummers.

Hoe lang bewaarde Odido klantgegevens buiten zijn beleid?

Odido bewaarde gegevens 5-10 jaar langer dan de aangegeven tweejarige bewaartermijn, waarbij sommige voormalige klanten die een decennium geleden contracten beëindigden breachmeldingen ontvingen.

Wat zijn de mogelijke boetes voor Odido's GDPR-schendingen?

De Autoriteit Persoonsgegevens kan boetes opleggen tot €20 miljoen of 4% van Odido's wereldwijde jaarlijkse omzet voor GDPR-schendingen gerelateerd aan onjuiste gegevensbewaring.

Kunnen getroffen klanten compensatie claimen?

Ja, klanten kunnen schadeclaims indienen voor schade als gevolg van de breach, met name kosten gerelateerd aan het vervangen van gecompromitteerde identificatiedocumenten.

Bronnen

NL Times: Odido bewaart klantgegevens veel langer dan beweerd

TechCrunch: Nederlandse telefoongigant Odido zegt miljoenen klanten getroffen door databreach

Autoriteit Persoonsgegevens: Bewaring van persoonsgegevens

CKH Advocaten: Daniëlle Molenkamp Profiel