Stel je voor. Je hebt jaren braaf je abonnement betaald. Je hebt je naam, adres, telefoonnummer, e-mailadres, geboortedatum, IBAN en je paspoortnummer netjes ingevuld bij je provider. Omdat dat moest van ze. Omdat je anders geen abonnement kreeg. Je vertrouwde er stilzwijgend op dat dat bedrijf daar vervolgens fatsoenlijk mee omging. Een februariweekend in 2026, blijkt opeens dat een hackersgroep genaamd Shinyhunters al die gegevens gewoon heeft meegenomen. Van 6,2 miljoen Nederlanders. Misschien van jou. Misschien van je ouders. Misschien van iemand in een beschermde woonsituatie die daar absoluut niet op zat te wachten.
Dit artikel is geschreven door een Tele2-klant. Die werd tegen wil en dank een T-Mobile klant. En toen een Odido-klant. Dit is mijn persoonlijke ervaring.
Welkom bij het Odido-datalek van 2026. Het grootste datalek in de Nederlandse geschiedenis. En de reactie van Odido? Die is precies zo ontluisterend als je zou verwachten van een bedrijf dat door private equity is volgepompt met schulden, bezig was met een beursgang en wiens solvabiliteit de laatste drie jaar consistent daalde. Een bedrijf met €3,7 miljard aan leningen dat zijn eigen beveiliging niet op orde had.
Hoe het werkte, en waarom dat zo schokkend is
De aanval zelf was technisch niet eens bijzonder ingewikkeld. Hackersgroep Shinyhunters deed zich voor als interne medewerkers en wist zo toegang te krijgen tot het klantcontactsysteem van Odido. Eenmaal binnen downloadden ze data op een – citaat Odido – “slinkse en onbevoegde manier”. Slinkse en onbevoegde manier. Dat is de corporate omschrijving van: we hadden hier nooit toegang tot mogen verlenen, maar we hadden de beveiliging niet op orde.
Advocaat Els Doornhein, gespecialiseerd in privacyrecht, is er helder over: er waren kennelijk geen speciale toegangsrechten tot de gevoelige data. Iedereen met de juiste logingegevens kon erbij. En alsof dat nog niet genoeg is: Odido bewaarde ook data van mensen die al jaren geen klant meer waren. Jarenlang. Gewoon, in het systeem. Want opschonen kost moeite en moeite kost geld en geld was er liever voor andere dingen.
De AVG – de Europese privacywetgeving waar ieder Nederlands bedrijf zich al jaren aan moet houden – stelt glashelder dat gegevens niet langer bewaard mogen worden dan noodzakelijk. En dat er passende technische en organisatorische beveiliging moet zijn. Odido had in 2025 al een boete van €1,5 miljoen gekregen van de Autoriteit Persoonsgegevens vanwege onvoldoende beveiliging van hun systemen. Ze hebben er kennelijk niets van geleerd. Of het was goedkoper om de boete te betalen dan het op te lossen.
De communicatie: een meesterwerk in minimalisme
“Hello sir, your account has been suspended.” Toen de eerste oplichter van zich liet horen, heb ik hem heel hard uitgelachen.
In het weekend van 7 en 8 februari 2026 kregen ze de eerste signalen. Op 12, 13 en 14 februari verstuurden ze mails naar getroffen klanten. Op 24 februari werd publiek dat Shinyhunters losgeld eiste – meer dan een miljoen euro – en dreigde de data te publiceren als Odido niet betaalde.
En Odido’s reactie op al die ophef? Ze openden een “speciale informatiepagina”. Oh DANK U! Ze verhoogden het bewustzijn van medewerkers over phishing, want die was dus te laag. En ze blokkeerden de ongeautoriseerde toegang eindelijk, want die was er dus al. Ze benadrukten dat “veiligheid onze hoogste prioriteit heeft”. Ze boden klanten twee jaar gratis een afgekleed F-Secure pakket aan, nota bene zonder de VPN-functionaliteit. Dat als gebaar van goede wil richting mensen van wie ze net het paspoort- en bankrekeningnummer hadden laten lekken.
In de Odido community schrijven gebruikers: “minimaliserend, afstandelijk en zonder echte erkenning van verantwoordelijkheid.” Dat treft doel. Odido presenteert zich consequent als slachtoffer van een externe aanval. Technisch klopt dat. En een inbreker die een open raam vindt, is nog steeds een inbreker. Maar de eigenaar die het raam openliet, draagt ook verantwoordelijkheid. Zeker als ze al eens gewaarschuwd zijn dat het raam openstond, en ze van de autoriteit al een fucking boete hebben gekregen hiervoor.
De werkelijke omvang: wat er op straat ligt
Pardon. Laten we even ophouden met omfloerst taalgebruik. Wat is er precies gelekt? Van 6,2 miljoen klanten – Shinyhunters claimt zelfs 8 tot 10 miljoen – liggen de volgende gegevens op straat: volledige naam, woonadres, telefoonnummer, e-mailadres, geboortedatum, klantnummer, bankrekeningnummer (IBAN) en in een deel van de gevallen ook het nummer en de geldigheidsdatum van het identiteitsbewijs.
Dat is geen kleine buit. Een combinatie van naam, adres, geboortedatum en identiteitsbewijsnummer is genoeg voor identiteitsfraude. Criminelen gebruiken dit soort datasets al voor gerichte phishing waarbij ze jouw naam, provider en klantnummer kennen – geloofwaardig genoeg om mensen te laten klikken. Er is al een specifieke truc opgedoken waarbij oplichters bellen via jouw eigen telefoonnummer, met de techniek om het weergegeven nummer te spoofen. Natuurlijk neem je op, want wie zal dat zijn? En je wordt erin geluisd. Odido hield ook netjes de klantbelevingen bij, waardoor mensen met een geestelijke beperking er gemakkelijk uit te vissen zijn.
Het risico verdwijnt ook niet na een paar weken of maanden. Gelekte datasets worden doorverkocht, gecombineerd met andere lekken en jarenlang gebruikt. Wie nu zijn bankrekening controleert en niets ziet, is er nog niet. Die gegevens zijn te geld te maken op een tijdschaal van maanden tot jaren.
De context die Odido liever niet noemt
Odido is ook niet zomaar een provider. Het is een bedrijf dat in 2023 ontstond uit de fusie van T-Mobile en Tele2 in Nederland, en sindsdien eigendom is van twee private equity-partijen die het bedrijf hebben volgepompt met schulden. De solvabiliteit daalde van 16,9 procent in 2022 naar 10,4 procent eind 2024. Het eigen vermogen bedraagt €588 miljoen. De schulden zijn €3,7 miljard. De beursgang die eraan zat te komen, is afgeblazen.
Een bedrijf in die financiële positie heeft kortetermijnprikkels. Investeren in beveiliging kost geld en levert op papier niets op. Gedoe! Tot het misgaat. En dan levert het ook nog een informatiewebpagina op in plaats van een echte excuusbrief, een bindend compensatieaanbod of ontslag van de verantwoordelijke directeur.
Drie keer zo veel klanten als normaal hebben inmiddels hun abonnement opgezegd. Het aantal nieuwe internetklanten daalde met 85 procent na het uitkomen van het lek. De markt straft Odido waar de Autoriteit Persoonsgegevens nog bezig is met onderzoek. Of er een boete komt, en hoe hoog, wordt nog bepaald. Een massaclaim heeft misschien meer kans – maar die duurt jaren en is voor de individuele consument nauwelijks de moeite waard om zelf te voeren.
Wat te doen als je getroffen bent
Heb je een mail gekregen van Odido op 12, 13 of 14 februari 2026? Dan zijn jouw gegevens gelekt. Een paar praktische stappen die je nu kunt zetten. Houd je bankrekening de komende maanden actief in de gaten en meld onbekende afschrijvingen direct bij je bank. Wees extra alert op phishing via mail, sms of telefoon waarbij de afzender details over jou lijkt te weten. Neem geen onbekende telefoontjes op, zeker niet als ze zeggen van Odido, je bank of een incassobureau te zijn. Check je gegevens op haveibeenpwned.com om te zien of je in meer lekken voorkomt. En overweeg of je bij Odido wil blijven.
Odido-abonnement opzeggen doe je zo
Genoeg gezien? Dat snappen we. Er zijn drie manieren om je Odido-abonnement op te zeggen, en geen ervan is ingewikkeld.
- De makkelijkste route is via Mijn Odido – inloggen, naar je abonnement, opzegging aanvragen. Je ziet meteen wanneer je contract afloopt en of je nog een opzegtermijn hebt. Na je opzegging ontvang je een bevestigingsmail.
- Ga je overstappen naar een nieuwe provider? Doe het dan via de overstapservice van je nieuwe provider. Zij regelen de opzegging bij Odido voor je – zo zit je geen moment zonder internet en hoef je zelf geen correspondentie te voeren met een bedrijf dat je gegevens niet kon beveiligen.
- Wil je zwart op wit bewijs dat je opgezegd hebt? Stuur een aangetekende brief naar: Odido Netherlands B.V., Postbus 16272, 2500 BG Den Haag. Vermeld je naam, klantnummer, telefoonnummer(s) en de gewenste einddatum. Je ontvangt een bevestiging zodra de opzegging is verwerkt.
De opzegtermijn bij Odido is maximaal één maand. Zit je nog midden in een contract? Dan kan Odido een afkoopsom berekenen – doorgaans 50 procent van de resterende maandelijkse kosten. Controleer de einddatum van je contract in Mijn Odido voordat je opzegt, zodat je weet waar je aan toe bent. Na opzegging stuur je bruikleenhardware zoals een modem terug via DHL; Odido stuurt je de instructies en een retourlabel.
Bellen kan ook: 0800-0092, maandag tot vrijdag 8-20 uur, zaterdag 9-17.30 uur. Vraag altijd om een bevestiging van je opzegging, bij voorkeur per mail. Niet voor ze weglopen – maar zodat je bewijs hebt dat je de stap gezet hebt.
Het Odido-effect
Het Odido-datalek heeft iets losgemaakt dat je niet zo makkelijk weer dichtschroeft. Niet het lek zelf – datalekken gebeuren, bij grote en kleine bedrijven, en zullen blijven gebeuren. Wat beklijft is het gevoel dat al die verplichte gegevens die je jarenlang hebt ingeleverd bij providers, webshops, zorgverzekeraars en overheidsdiensten, nooit echt veilig waren. Dat het vertrouwen waarmee je je paspoort, je IBAN en je adres invulde, niet werd beantwoord met de zorgvuldigheid die je mocht verwachten. Dat is het Odido-effect: niet de hack, maar de kille ontnuchtering. De stille erkenning dat grote partijen jouw privacy niet beschermen omdat ze dat willen, maar hooguit omdat de wet ze daartoe dwingt – en zelfs dan, zo blijkt, niet altijd afdoende. De vraag is niet meer óf dit opnieuw gebeurt. De vraag is bij wie het de volgende keer misgaat. En of jij daar ook klant bent.
Veelgestelde vragen over het Odido-effect
Welke gegevens zijn gelekt bij het Odido-datalek?
Van 6,2 miljoen klanten zijn gelekt: naam, adres, telefoonnummer, e-mailadres, geboortedatum, klantnummer, IBAN en in een deel van de gevallen ook het nummer en de geldigheidsdatum van het identiteitsbewijs.
Hoe weet ik of mijn gegevens gelekt zijn bij Odido?
Heb je op 12, 13 of 14 februari 2026 een mail ontvangen van Odido? Dan zijn jouw gegevens betrokken bij het datalek. Heb je geen mail ontvangen en was je geen klant van Odido of T-Mobile, dan zijn jouw gegevens waarschijnlijk veilig. Controleer ook je spamfolder.
Hoe zeg ik mijn Odido-abonnement op?
Via Mijn Odido online, via de klantenservice op 0800-0092, via de overstapservice van je nieuwe provider, of per aangetekende brief naar Odido Netherlands B.V., Postbus 16272, 2500 BG Den Haag. De opzegtermijn is maximaal één maand.
Kan ik schadevergoeding krijgen van Odido?
In theorie heeft iedere gedupeerde recht op schadevergoeding op basis van de AVG. In de praktijk moet je aantonen dat je daadwerkelijk schade hebt geleden door het lek. Een individuele claim is lastig; een massaclaim via een rechtsbijstandsorganisatie heeft meer kans maar duurt jaren.
