Artikel · 17 mei 2026

Ik vond 38 ministers in de Odido-dataset — en 5,5 miljoen mensen die er allang niet meer hoorden te zijn

Forensische analyse van het Odido-lek. PPP's, MKB-ondernemers, kwetsbare personen, 16 jaar opslag van data die nooit bewaard had mogen blijven. En waarom Wetsvoorstel 2026Z04148 dit moet verbieden.

Screenshot van de homepage van odido.nl, het telecombedrijf wiens Salesforce-omgeving werd gehackt en waaruit de gegevens van 6,2 miljoen klanten lekten. — odido.nl — homepage van het telecombedrijf wiens klantdataset op straat kwam te liggen. Wat ik vond, was niet alleen actueel — maar tot zestien jaar oud.

Geen enkele journalist heeft deze data gedeeld. Ik ook niet.

Wat ik wél deel: wat erin staat.

Een voorbeeld van één van de zoekopdrachten die ik gebruikte. Geen hackerskennis, gewoon grep:

grep -i "minister\|kamerlid" odido.txt | grep -c "BSN\|paspoort"

Wat ik vond — en wat nergens eerder is gepubliceerd

2.990 mensen met kwetsbare indicatoren in hun dossier — GGZ-patiënten, stalking-slachtoffers, mensen onder getuigenbescherming. Hun geheime adres. Gewoon opgeslagen.

4.249 MKB-eigenaren met KvK-nummer én privé-IBAN gekoppeld. Alles wat je nodig hebt voor CEO-fraude. Kant en klaar.

5,5 miljoen digital zombies — mensen die al jaren geen klant meer zijn. Hun data? Nog steeds aanwezig. AVG artikel 5. Gewoon genegeerd.

38 PPP’s — Politiek Prominente Personen (de officiële Wwft-term): ministers, Kamerleden, staatssecretarissen en hoge overheidsfunctionarissen, gecombineerd met BSN, paspoortnummer of IBAN. RTL rapporteerde 4 ministers. Mijn forensische analyse van de ruwe dataset vindt er 38.

47.662 oud-klanten zien hun incasso-gegevens, BSN, IBAN en woonadres nog steeds in de dataset staan — data uit de periode 2010–2024. Nooit gewist. Rechtstreeks in strijd met Odido’s eigen privacybeleid dat maximaal twee jaar retentie voorschrijft.

Dit is geen incident. Dit is een ontwerpfout.

Je kunt je BSN niet veranderen. Je kunt je geboortedatum niet veranderen. Je kunt je paspoortfoto niet veranderen.

En toch staat dit alles nog in een database.

Odido noemde het een “beheerst incident.”

De dataset noemt het 16 jaar ongecontroleerde opslag van data die er nooit had mogen zijn. Dit is geen slechte hacker. Geen zwak wachtwoord. Dit is een systeem dat bewaart wat het moet wissen.

Wat je niet hebt, kan niet lekken

Daarom heb ik Wetsvoorstel 2026Z04148 ingediend: een verbod op private opslag van ID-gegevens door bedrijven die daar geen wettelijke grond meer voor hebben. Het dossier ligt bij de Commissie Digitale Zaken.

Ik doe dit niet om te scoren. Maar omdat 17 miljoen Nederlanders het recht hebben om te weten dat hun meest permanente gegevens — BSN, paspoort, bankrekening — jarenlang worden bewaard door bedrijven die daar allang geen reden meer voor hebben.

De vraag aan de Kamer

Wanneer komt dit op de agenda?

De ontwerpfout die #CheckDontStore wettelijk verbiedt is precies wat hier is misgegaan. Wat je niet opslaat, kan niet lekken.

Eerdere publicatie over deze casus, inclusief methodologie en cijfers: Uw directie stond op de lijst — wat het Odido-lek onthult over uw eigen datakluis.

← terug naar artikelen