Odido bewaart persoonsgegevens van oud-klanten langer dan het bedrijf zelf stelt in zijn privacyverklaring. Dat blijkt onder andere uit meldingen aan voormalige klanten na het grote datalek begin februari. RTL Nieuws ontdekte daarnaast ook dat gegevens van tienduizenden klanten, die al meer dan twee jaar geleden weg zijn gegaan bij de provider, onderdeel zijn van het grote lek.
Update artikel 16-3-2026 08.00: Het grote datalek van Odido, bevat inderdaad gegevens van tienduizenden ex-klanten stelt RTL Nieuws. Uit eigen onderzoek blijkt dat van meer dan 44.000 ex-klanten van de provider informatie ook op straat is verschenen. Oud-klanten van Odido zijn daarbij ook nog eens onjuist of helemaal niet voorzien van informatie.
Volgens de provider wordt informatie van ex-klanten maximaal twee jaar bewaard. Dat blijkt niet waar, want RTL Nieuws vond gegevens van personen die al vijf jaar geleden hun contract hadden opgezegd.
Update artikel 17-2-2026 15.15: D66-Kamerleden hebben demissionair minister Karremans om opheldering gevraagd over het grootschalige datalek bij Odido. Ze willen onder andere weten of de provider nalatig is geweest in de naleving van de AVG.
Daarnaast zijn ze benieuwd of de Autoriteit Persoonsgegevens over voldoende middelen beschikt voor toezicht en of de overheid strengere beveiligingseisen moet stellen aan telecombedrijven. Tot slot is de minister gevraagd of hij een actievere rol voor de overheid ziet in het beschermen van gedupeerde burgers en welke lessen dit incident biedt voor de algemene digitale weerbaarheid van organisaties.
Originele artikel 17-2-2026 09.02: Vorige week ontvingen klanten die vijf of zelfs tien jaar geleden al waren overgestapt naar een andere provider een mail van Odido. Hun gegevens bleken buitgemaakt bij de grote cyberaanval op Odido. Daarbij kregen criminelen toegang kregen tot data van 6,2 miljoen klanten, waar wel dubbelingen in kunnen zitten. Volgens het privacystatement van Odido worden klantgegevens maximaal twee jaar na afloop van het contract bewaard.
Het Financieele Dagblad meldt dat het telecombedrijf niet kan zeggen hoeveel oud-klanten precies bericht hebben ontvangen. Odido geeft aan meer tijd nodig te hebben om uit te zoeken waarom gegevens langer dan de gestelde twee jaar in het systeem blijven staan.
Odido meldt cyberaanval: klantgegevens gestolen
Odido zoekt verklaring voor langere bewaartermijn
Op een vraag-antwoord-site noemt de provider dus dat data tot twee jaar worden bewaard “voor het geval je binnen deze periode weer klant wil worden”. Die termijn gaat volgens het bedrijf pas in “nadat alle wederzijdse verplichtingen zijn afgehandeld”. Als er na een overstap nog openstaande rekeningen of servicevragen zijn, kan het zijn dat de twee jaar later begint dan de einddatum van het contract.
Die verklaring dekt echter niet waarom mensen die vijf tot tien jaar geleden vertrokken nu een melding krijgen. Deskundigen zeggen in het FD dat dit mogelijk wijst op gebrekkig datamanagement bij Odido.
Autoriteit Persoonsgegevens volgt zaak
De Autoriteit Persoonsgegevens houdt de zaak in de gaten. De toezichthouder benadrukt dat elk bedrijf zich aan de eigen privacyverklaring moet houden. Bij het datalek, dat het resultaat was van een phishing-aanval, werden onder meer naam- en adresgegevens, paspoort- en bankrekeningnummers gestolen. Wachtwoorden bleven volgens Odido buiten bereik van de hackers. Ook klanten van virtuele provider Ben zijn getroffen door de hack. Dat geldt niet voor gebruikers van virtuele provider Simpel, die mede gebruikmaakt van het Odido-netwerk.
Door de hack zijn er veel Odido-klanten die zeggen over te stappen naar een andere provider. Concrete cijfers daarvan zijn daarvan nu nog niet bekend, maar dat het ze klanten kost is wel een feit. Ook veroorzaakt het cyberincident veel onrust stelt het Centraal Meldpunt Identiteitsfraude. Volgens het meldpunt komen er veel vragen binnen van Odido-klanten over het datalek.