Odido vecht miljoenenboete aan terwijl cybercriminelen klantgegevens stelen
Nederland, donderdag, 12 februari 2026.
Telecomprovider Odido krijgt klappen van twee kanten: de toezichthouder eist 1,5 miljoen euro boete voor gebrekkige beveiliging van aftapsystemen, terwijl hackers tegelijk 6,2 miljoen klantgegevens hebben gestolen. Het bedrijf betwist de boete en claimt wel degelijk beveiligingsmaatregelen te hebben. De cyberaanval in februari 2026 lekte namen, adressen, IBAN-nummers en ID-gegevens uit. Odido waarschuwt klanten voor phishing en meldt dat de operationele diensten veilig blijven. De dubbele beveiligingscrisis toont het spanningsveld tussen overheidstoezicht en cyberveiligheid in de Nederlandse telecomsector.
Odido betwist boete om ‘ontbrekend’ beveiligingsplan
De Rijksinspectie Digitale Infrastructuur (RDI) legde Odido op vrijdag 11 oktober 2025 een boete van ruim 1,5 miljoen euro op [1]. De toezichthouder concludeerde na onderzoek in 2021 en 2022 dat Odido geen beveiligingsplan had voor zijn aftapsystemen [1]. Deze systemen gebruikt de overheid om communicatie af te tappen voor opsporingsonderzoeken [GPT]. Odido gaat nu in bezwaar tegen de boete [1]. Een woordvoerder van het bedrijf stelt: “We hebben een alomvattend beveiligingsplan en daarbinnen zitten ook beveiligingsmaatregelen voor het aftapsysteem” [1]. De provider betwist ook de bewering dat ongeautoriseerde werknemers toegang hadden tot het systeem. “Er heeft nooit daadwerkelijk iemand zonder bevoegdheid deze aftapgegevens ingezien”, aldus de woordvoerder [1].
Cyberaanval treft 6,2 miljoen klanten
Terwijl Odido nog vecht tegen de boete voor gebrekkige beveiliging, sloegen cybercriminelen toe. In het weekend van 7 en 8 februari 2026 kregen hackers onbevoegd toegang tot een klantcontactsysteem [2]. Ze downloadden gegevens van mogelijk 6,2 miljoen klanten [2]. De gestolen data omvat namen, adressen, mobiele nummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en identificatiegegevens zoals paspoort- of rijbewijsnummers [2]. Wachtwoorden, belgegevens en factuurgegevens bleven veilig [2]. Odido beëindigde de ongeautoriseerde toegang “zo snel mogelijk” en meldde het incident bij de Autoriteit Persoonsgegevens [2]. Klanten krijgen een waarschuwing per e-mail of sms, wat tot 48 uur kan duren vanwege het grote aantal betrokkenen [2].
Dubbele crisis toont kwetsbaarheid telecomsector
De combinatie van een boete voor slechte beveiliging en een daadwerkelijke cyberaanval illustreert de beveiligingsuitdagingen in de Nederlandse telecomsector. Odido raadt klanten aan extra alert te zijn op phishing en voorzichtig om te gaan met linkjes in berichten [2]. De operationele diensten van het bedrijf functioneren normaal - klanten kunnen gewoon blijven internetten, tv-kijken en bellen [2]. De timing is opvallend: terwijl Odido beweert wel degelijk beveiligingsmaatregelen te hebben, slagen criminelen er toch in om miljoenen klantgegevens te stelen. Dit roept vragen op over de effectiviteit van beveiligingsplannen in de praktijk. Voor consumenten betekent dit verhoogde waakzaamheid voor identiteitsfraude, aangezien hun IBAN-nummers en ID-gegevens mogelijk in verkeerde handen zijn gevallen.