Honderdduizenden persoonlijke gegevens op straat door datalek Odido: ‘Dit is echt één van de grootste datalekken van de Nederlandse geschiedenis’

Wat is er precies gebeurd bij Odido?

Op 12 februari 2026 wordt duidelijk dat er een grootschalig datalek is bij telecomprovider Odido. Volgens de provider gaat het om ruim 6 miljoen klanten die hierbij betrokken zijn. Op 26 februari besluit de hackgroep de gegevens van zo’n 430.000 personen en 290.000 bedrijven te publiceren op het darkweb nadat Odido duidelijk maakt geen losgeld te gaan betalen. Maar hoe heeft de hack überhaupt kunnen gebeuren? “De hackgroep Shinyhunters heeft zich naar klantenservicemedewerkers van Odido voorgedaan als ICT-medewerkers van Odido,” vertelt Ruwhof. Door de medewerkers te misleiden zijn de hackers aan inloggegevens gekomen en heeft de groep toegang kunnen krijgen tot het klantensysteem. 

Gelekte gegevens

Veel klanten maken zich, terecht, zorgen over welke gegevens er op straat liggen door het datalek. Volgens Odido gaat het mogelijk om de volgende gegevens: 

• Volledige naam 

• Geboortedatum 

• Klantnummer 

• Adres en woonplaats 

• Telefoonnummer 

• E-mailadres 

• IBAN-nummer 

• Identificatiegegevens (nummer van het identiteitsdocument en geldigheid) 

• Notities van klantenservice 

• Wie er aanmaningen of sommaties krijgt 

Odido zegt dat er geen BSN-nummers, wachtwoorden van de klantenaccounts, scans van identiteitsbewijzen, locatiegegevens en factuurgegevens in handen zijn van de hackers. “In combinatie met het bankrekeningnummer, de geboortedatum en paspoortnummers maakt dit het tot een bijzondere, extreem gevoelige dataset,” zegt Ruwhof. 

Mogelijk misbruik 

Maar wat kunnen kwaadwillenden nu precies met de gegevens die mogelijk zijn gelekt? Omdat de gegevens zo persoonlijk zijn, kan er specifiek gerichte en geloofwaardige oplichting plaatsvinden. Denk aan phishingmails of -sms’jes en zogenaamde belletjes of berichten van bedrijven of banken. 

Ook kunnen criminelen proberen accounts op andermans naam aan te maken en proberen bestaande accounts te resetten. Voor echte identiteitsfraude zijn er meestal meer gegevens nodig, zoals kopieën van identiteitsbewijzen. 

Er kunnen automatische incasso’s geactiveerd worden op bankrekeningen, zegt Ruwhof. “Dat is mogelijk wanneer je in het bezit bent van iemands IBAN-nummer. De meeste banken laten namelijk automatische incasso’s toe zonder goedkeuring vooraf. Belangrijk is dus om uw afschriften in de gaten te houden.” Ziet u vreemde afschrijvingen, dan kunt u automatische incasso’s terugboeken en kunt u het beste meteen contact opnemen met de bank. De Nederlandse Vereniging van Banken (NVB) benadrukt wel dat de gegevens niet gebruikt kunnen worden om in te loggen in bankapps of internetbankieren. “Bankrekeningen blijven dus veilig”, staat in een bericht op de NVB site. 

Sukkellijsten

Door de gevoelige set aan gegevens wordt het voor criminelen gemakkelijk om kwetsbare mensen te selecteren, aldus Ruwhof. Volgens het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) zijn vooral ouderen en laaggeletterden kwetsbaarder voor cybercriminaliteit omdat zij phishing en oplichting minder snel herkennen. “Ook mensen met betaalproblemen lopen extra risico; zij nemen sneller risico’s in tijden van financiële stress”, zegt Ruwhof.

“Doordat criminelen nu over deze gevoelige gegevens beschikken, wordt het voor hen eenvoudig om gericht te selecteren op deze groepen en zo misbruik te maken. Criminelen kunnen hiermee zogenoemde ‘sukkellijsten’ samenstellen: lijsten van personen die zij als makkelijker doelwit zien”, zegt Ruwhof. 

Ook geografische selectie speelt een rol. Wanneer criminelen bijvoorbeeld een postcode zien van een wijk die bekendstaat als welvarend, is de kans groter dat bewoners daar slachtoffer worden. Daarnaast kan het gericht selecteren op geboortedatum helpen om eenvoudiger ouderen te benaderen. 

Dreigementen

Na het publiceren van honderdduizenden gegevens laat Shinyhunters, volgens het Brabants Dagblad, op het darkweb weten: “dit is de puurste vorm, definitie en het duidelijkste voorbeeld van ‘wie niet horen wil, moet voelen’. We maken geen grap. We bluffen niet en we overdrijven ook niet.” 

Odido laat aan NU.nl weten niet te onderhandelen met de bende “op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties”. Volgens Ruwhof staan deze experts achter de gedachte om criminaliteit niet te stimuleren. Maar wat is een paar miljoen aan losgeld tegenover miljarden euro’s omzet per jaar? De keuze van Odido om niet te betalen zal grote gevolgen hebben, volgens Ruwhof. “Er zullen mensen, zoals politici, moeten verhuizen omdat hun huisadres nu geopenbaard wordt. Dat raakt mij als ethisch hacker echt.” 

FSecure en schadeclaim

Onder de AVG (privacywetgeving) is een bedrijf in principe verantwoordelijk voor het beveiligen van persoonsgegevens. Wanneer er schade ontstaat door het tekortschieten van deze beveiliging, moet het bedrijf dat oplossen. Is uiteindelijk opgelopen schade te verhalen op Odido? Immateriële schade zoals stress is juridisch vaak erg lastig te bewijzen. Materiële schade, zoals het aanvragen van een nieuw paspoort, is vaak alleen mogelijk met bewijs dat er écht een verband is met het datalek. 

Als tegemoetkoming biedt Odido aan dat getroffen klanten 2 jaar lang gratis gebruik kunnen maken van FSecure. Dit is een beveiligingssysteem dat scant op onveilige browsers en mogelijke phishingmeldingen. Volgens Ruwhof een schamele troost: “Een virusscanner voor 2 jaar is leuk, maar vaak blijven telefoonnummers en woonplaatsen jarenlang hetzelfde, waardoor criminelen alsnog in bezit zijn van gegevens.” 

Het Openbaar Ministerie is een strafrechtelijk onderzoek gestart naar het datalek bij Odido. Hoeveel gegevens er tot nu toe precies op straat liggen en of Odido terugkomt op hun besluit om geen losgeld te betalen moet nog blijken.  

Foto: ANP