Odido weigert miljoenen klanten te compenseren na grootste datalek ooit in Nederland
Nederland, dinsdag, 12 mei 2026.
Telecombedrijf Odido bevestigt dat het geen schadevergoeding betaalt aan 6,2 miljoen getroffen klanten na de cyberaanval van februari 2026. CEO Søren Abildgaard verdedigt de beslissing om hackersgroep ShinyHunters geen losgeld te betalen, ondanks dat dit betekende dat gestolen gegevens openbaar werden gemaakt op het darkweb.
Miljoenen klantgegevens op straat na weigering losgeld
Hackersgroep ShinyHunters voerde op 5 en 6 februari 2026 twee cyberaanvallen uit op Odido via ‘voice phishing’ [1]. Op 7 februari 2026 ontving het telecombedrijf een chantagemail van de criminelen [2]. Odido besloot echter het geëiste losgeld niet te betalen na advies van het ministerie van Justitie en Veiligheid, de politie en cybersecurityexperts [2][3]. CEO Søren Abildgaard verdedigde deze keuze: “Ik geloof er sterk in dat criminelen niet moeten worden beloond voor illegale activiteiten” [1]. Het gevolg was voorspelbaar: op 26 februari 2026 publiceerde ShinyHunters de gestolen gegevens van 6.39 miljoen klanten op het darkweb [2]. De hack trof niet alleen huidige klanten, maar ook voormalige Odido-gebruikers [1].
Geen compensatie ondanks grootste cyberincident ooit
Odido houdt vol dat klanten geen automatisch recht hebben op schadevergoeding [1][3]. “Als een klant geen aantoonbare schade heeft ondervonden door het lek bij Odido, compenseren wij niet,” stelt chief commercial officer Tisha van Lammeren [2]. Het bedrijf beweert dat niet is vastgesteld dat het regels heeft overtreden of nalatig is geweest [1][3]. Ondertussen hebben meer dan 350.000 gedupeerden zich aangesloten bij een massaclaim gestart door Privacystichting Consumers United in Court [2]. De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur onderzoeken of Odido klantgegevens te lang heeft bewaard [1][2]. Voor consumenten betekent dit dat ze zelf juridische stappen moeten ondernemen om eventuele schade vergoed te krijgen.
Economische gevolgen en marktimpact
Het incident wordt beschouwd als een van de grootste cybersecurityincidenten ooit in Nederland [7]. Gemiddeld kost een datalek organisaties ongeveer 6 miljoen euro [7], maar Odido ontloopt vooralsnog massale schadeclaims door zijn harde standpunt. Het bedrijf staat onder druk van toezichthouders die onderzoeken of de provider zich wel aan privacywetgeving heeft gehouden [1][2]. Voor de telecomsector betekent dit incident een wake-up call over cyberveiligheid. Klanten moeten nu zelf monitoren of hun gestolen gegevens worden misbruikt voor identiteitsfraude of phishing [GPT]. ShinyHunters, dezelfde hackersgroep, viel begin mei 2026 ook het Amerikaanse bedrijf achter onderwijsplatform Canvas aan, wat Nederlandse universiteiten raakte [1].