Odido negeerde drie waarschuwingen en nu willen 6,2 miljoen Nederlanders hun geld terug
Nederland, maandag, 20 april 2026.
Vanaf vandaag kunnen slachtoffers zich gratis aansluiten bij een massaclaim tegen Odido. De telecomprovider zou drie keer gewaarschuwd zijn door Salesforce voor precies de hackmethodes die ShinyHunters gebruikten om 6,2 miljoen persoonsgegevens te stelen. Odido wist begin februari al van de hack, maar wachtte weken met waarschuwen van klanten. Nu liggen namen, adressen, bankrekeningnummers en paspoortgegevens op straat. Criminelen gebruiken de data al voor gerichte phishing. Privacystichting CUIC eist financiële compensatie omdat Odido klanten bescherming beloofde maar zelf faalde.
CUIC start gratis aanmeldprocedure voor gedupeerden
Privacystichting Consumers United in Court (CUIC) trapte vandaag de collectieve rechtszaak tegen Odido af [1][2]. Gedupeerden kunnen zich kosteloos aansluiten via een ‘no cure, no pay’ constructie [2]. Dat betekent dat je alleen betaalt als je daadwerkelijk geld krijgt - een deel van de schadevergoeding gaat dan naar het financierende bedrijf [2]. CUIC-voorzitter Eliëtte Vaal beschuldigt Odido van grove nalatigheid: ‘Odido verkoopt producten aan klanten onder de noemer veilig online, thuis en onderweg en stimuleert ze om tegen betaling hun privacy te beschermen. Maar zelf doet Odido dat niet’ [1][3]. Het bedrijf zou te veel gegevens hebben bewaard, voor veel te lange periodes [1][4]. Ook de meldplicht werd niet correct nageleefd [1].
Criminelen gebruiken gestolen data al voor gerichte oplichting
De gevolgen van het datalek zijn nu al merkbaar. Criminelen misbruiken de gestolen Odido-gegevens voor gerichte phishing, waaronder nepberichten namens het CJIB [1]. ING waarschuwde klanten al voor de risico’s [1]. Hackersgroep ShinyHunters maakte namen, woonadressen, telefoonnummers, bankrekeningnummers en documentnummers van paspoorten en rijbewijzen buit [2][3]. De groep publiceerde alle data online nadat Odido weigerde losgeld te betalen [1][4]. Volgens Vaal leidt alleen al de vrees voor misbruik tot schade: ‘Getroffenen ondervinden de gevolgen en zijn de controle over hun persoonsgegevens kwijt. Dat is schade waartegen de AVG hen beschermt en recht geeft op vergoeding in geld’ [1].
Nieuwe cybersecuritywet moet toekomstige lekken voorkomen
Het Odido-lek past in een zorgwekkende trend van cyberaanvallen op Nederlandse bedrijven zoals Booking.com, Basic-Fit en ChipSoft [7]. Vorige week aanvaardde de Tweede Kamer daarom een nieuwe cybersecuritywet [7]. Minister van Justitie David van Weel: ‘Die gaat ons helpen bedrijven te dwingen hun beveiliging beter op orde te hebben’ [7]. Ondertussen lopen er nog onderzoeken naar Odido door de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur [1]. Voor de 6,2 miljoen getroffen Nederlanders blijft de vraag hoeveel schadevergoeding er komt. CUIC hoopt op meer duidelijkheid over welke data precies zijn gestolen, zodat de schade beter kan worden vastgesteld [2].