TechStacks

Wat betekent het Odido-datalek echt voor jou?

1 mrt 2026 TechStacks Redactieteam

Odido-hackers publiceren resterende klantdata, ook miljoenen ID-nummers

De blog die je nu leest was al best duidelijk, maar hij bleef nog wat op afstand. Er stond veel uitleg over de hack zelf, maar minder echt praktische stappen voor jou. Ook miste er nog wat diepgang over hoe je dit in je dagelijks leven merkt, bijvoorbeeld bij je bank, je post en je telefoon.

In deze versie gaan we daar dieper op in. Je krijgt per onderwerp concrete stappen, checklists en voorbeelden. Niet om je bang te maken, maar zodat je weet wat je vandaag en de komende maanden zelf kunt doen.

Welke gegevens nu zijn gepubliceerd

Bij Odido is een enorme hoeveelheid klantdata buitgemaakt en nu vrijwel volledig online gezet. Het gaat om een bestand met ruim 15 miljoen rijen aan gegevens. Dat zijn niet 15 miljoen verschillende mensen, want van één persoon kunnen meerdere regels staan, maar het gaat wel om miljoenen klanten en oud-klanten.

In ongeveer 6,4 miljoen regels staat een documentnummer van een paspoort of rijbewijs. In totaal gaat het om iets meer dan 5 miljoen unieke ID-bewijzen. Daarnaast zitten er minstens 8,1 miljoen regels met e-mailadressen in en 6,5 miljoen met telefoonnummers, al is niet duidelijk hoeveel daarvan nog actueel zijn.

Vaak staan die gegevens niet los, maar in combinatie met elkaar. Denk aan naam, adres, geboortedatum, e-mailadres, telefoonnummer en een ID-nummer in één rij. Voor jou voelt dat misschien als droge administratie, maar voor criminelen is dat een compleet profiel waarmee ze zich als jou kunnen voordoen.

Belangrijk om te weten: je ziet zelf niet zomaar of jouw gegevens in die dataset zitten. Je hoeft dus niet te gaan zoeken op het donkere deel van het internet. Ga er liever van uit dat je geraakt kunt zijn als je klant bent of bent geweest, en richt je op wat je nu kunt doen om misbruik zo lastig mogelijk te maken.

Let er ook op dat het niet alleen om huidige klanten gaat. Heb je jaren geleden een abonnement gehad en ben je al lang weg bij Odido of T-Mobile, dan kun je alsnog in die data staan. Bedrijven bewaren klantgegevens vaak lang, onder meer vanwege wettelijke bewaartermijnen en administratie.

Waarom hackers alles in één keer online hebben gezet

De hackers hadden eerst aangekondigd dat ze de data in delen zouden publiceren. Dat is een bekende manier om de druk op een bedrijf op te voeren. Elke nieuwe publicatie levert dan weer aandacht op en vergroot de druk om te betalen.

Toch hebben ze nu besloten om de resterende gegevens in één keer online te zetten. Op hun site op het donkere deel van het internet verwijzen ze naar “recente ontwikkelingen”, zonder uit te leggen wat dat precies betekent. Ook als ze ernaar gevraagd worden, geven ze geen details.

Voor jou maakt die reden eigenlijk niet zoveel uit. Het resultaat is dat er nu in korte tijd een bijna complete set met klantdata op straat ligt. Dat betekent dat criminelen er meteen grootschalig mee aan de slag kunnen, in plaats van beetje bij beetje.

De hackers zeggen dat ze nog meer data van Odido hebben, maar die niet publiceren. Volgens hen gaat dat om dingen als contact met de klantenservice. Dat klinkt misschien minder spannend, maar juist daar kunnen soms extra details in zitten, zoals antwoorden op beveiligingsvragen of klachten waar je persoonlijke informatie in staat.

Belangrijk om te beseffen: ook data die niet openbaar is gemaakt, kan nog steeds misbruikt worden. Hackers kunnen die informatie bijvoorbeeld gebruiken voor gerichte oplichting, waarbij ze heel specifiek op jou of een kleine groep mikken. Reken er dus niet op dat je veilig bent omdat “niet alles” online staat.

Losgeld, druk en de keuze van Odido

De hack bij Odido is begin februari gepleegd door de groep ShinyHunters. Zij zijn in één keer bij een grote hoeveelheid klantgegevens gekomen en hebben daarna geprobeerd om daar geld mee af te dwingen. Eerst vroegen ze ongeveer een miljoen euro, later zakte dat naar 500.000 euro.

De deal die ze voorstelden was simpel: als Odido betaalt, publiceren zij de data niet. Odido heeft besloten dat geld niet te betalen, mede op advies van politie en beveiligingsbedrijven. Officieel is het standpunt dat betalen criminaliteit in stand houdt en dat je geen garantie hebt dat de data dan echt wordt verwijderd.

Voor jou als klant voelt dat heel dubbel. Aan de ene kant snap je dat je criminelen niet wilt belonen. Aan de andere kant zit jij nu met de gevolgen, omdat de gegevens wel online zijn gezet. Dat is een spanningsveld waar je zelf geen invloed op hebt, maar waar je wel de risico’s van draagt.

Het is goed om te weten dat zelfs als er wél betaald was, je gegevens niet automatisch veilig waren geweest. Hackers kunnen beloven dat ze data verwijderen, maar je kunt dat niet controleren. Ze kunnen het alsnog verkopen, bewaren of later alsnog publiceren.

Waar je wél invloed op hebt, is wat er daarna gebeurt. Zie het zo: de kluis is opengebroken en de inhoud ligt op straat. Jij kunt nu alleen nog zorgen dat de sleutels tot je belangrijkste accounts en je geld zo goed mogelijk beschermd zijn.

Hoe de hackers binnenkwamen bij Odido

Wat deze hack extra wrang maakt, is dat het geen ingewikkelde technische aanval was. De hackers hebben gewoon gebeld met de klantenservice van Odido. Ze deden zich voor als iemand van de eigen ICT-afdeling.

Een medewerker heeft hen toen, zonder het door te hebben, toegang gegeven tot systemen met klantgegevens. Dit heet social engineering: niet het systeem wordt aangevallen, maar de mens. Het laat zien dat zelfs als systemen redelijk goed dicht zitten, een geloofwaardig telefoontje genoeg kan zijn om alles open te zetten.

De leverancier van de klantbeheersoftware die Odido gebruikt, had eerder al gewaarschuwd voor precies deze manier van aanvallen. Toch is het misgegaan. Dat is frustrerend, want je vertrouwt erop dat bedrijven met dit soort waarschuwingen echt iets doen.

Voor jou thuis is dit ook een les. Criminelen gebruiken dezelfde truc niet alleen bij bedrijven, maar ook bij particulieren. Denk aan iemand die belt en zegt dat hij van de bank, de politie of een overheidsinstantie is, en heel overtuigend klinkt.

Een paar simpele regels helpen je om niet in die val te trappen:

  • Geef nooit inlogcodes, pincodes of verificatiecodes door aan iemand die jou belt.
  • Laat nooit iemand op afstand meekijken op je computer als jij daar niet zelf om hebt gevraagd via de officiële site.
  • Hang op als je twijfelt en zoek zelf het officiële nummer van de organisatie op om terug te bellen.
  • Voel je niet bezwaard om “nee” te zeggen, ook als iemand aandringt of zegt dat het “nu echt moet”.

Wat criminelen met jouw gelekte gegevens kunnen doen

Met een combinatie van naam, adres, e-mailadres, telefoonnummer en ID-nummer kunnen criminelen veel kanten op. Ze kunnen accounts op jouw naam openen, overtuigende nepmails sturen of zich aan de telefoon voordoen als een betrouwbare partij. Hoe meer details ze hebben, hoe geloofwaardiger hun verhaal wordt.

Een eerste signaal is vaak dat je meer neptelefoontjes en nepmails krijgt. Bijvoorbeeld iemand die zegt van je bank, de overheid of een pakketdienst te zijn, en details over jou noemt die kloppen. Dat voelt dan betrouwbaar, terwijl het gewoon uit zo’n gelekte dataset komt.

Met ID-nummers wordt het gevoel nog onveiliger, omdat dat heel persoonlijk is. Het nummer alleen is meestal niet genoeg om bijvoorbeeld een lening af te sluiten, maar het kan wel helpen om controles te omzeilen. Denk aan situaties waar alleen om een documentnummer wordt gevraagd als extra check.

Let ook op combinaties met andere datalekken. Misschien is je wachtwoord ooit bij een andere dienst gelekt. Als criminelen jouw naam, adres en ID-nummer nu kunnen koppelen aan een oud wachtwoord, wordt het makkelijker om gericht te proberen ergens in te loggen.

Een paar dingen waar je de komende tijd extra alert op moet zijn:

  • Onverwachte berichten over betalingen, boetes of pakketjes die je niet herkent.
  • Verzoeken om snel te handelen, bijvoorbeeld “binnen 10 minuten betalen” of “anders wordt je rekening geblokkeerd”.
  • Telefoontjes waarbij iemand veel over je weet, maar toch om extra gegevens vraagt.
  • Brieven of mails over leningen, abonnementen of bestellingen die jij niet hebt aangevraagd.

Wat je zelf nu meteen kunt doen

Je kunt de hack niet terugdraaien, maar je kunt wel zorgen dat de schade voor jou zo klein mogelijk blijft. Begin met je belangrijkste accounts: je e-mail, je bank, DigiD en andere diensten waar geld of veel persoonlijke informatie in zit. Daar wil je de beveiliging zo strak mogelijk hebben.

Een handig stappenplan voor de komende dagen:

  1. Verander je wachtwoorden van je belangrijkste accounts, vooral als je die al lang gebruikt.
  2. Zet twee-staps-verificatie aan bij je mail, bank, DigiD en sociale media.
  3. Controleer je bankafschriften en creditcardoverzichten op onbekende betalingen.
  4. Check je e-mailfilters en doorstuurregels om te zien of er niets verdachts is ingesteld.
  5. Maak een vaste plek waar je verdachte brieven en mails bewaart, zodat je overzicht houdt.

Gebruik voor belangrijke accounts altijd sterke, unieke wachtwoorden. Een wachtwoordmanager helpt daarbij, zodat je niet alles hoeft te onthouden. Kies één sterk hoofdwachtwoord en laat de manager de rest doen.

Wees ook terughoudend met het delen van extra gegevens als iemand je belt of mailt. Ook als ze dingen over je weten, zoals je adres of klantnummer, hoef je niet zomaar alles te bevestigen. Zeg gerust dat je zelf terugbelt via het nummer op de officiële site.

Tot slot: meld verdachte dingen direct bij de betrokken partij. Zie je een vreemde afschrijving, bel dan meteen je bank. Krijg je een brief over een lening die je niet hebt aangevraagd, neem dan direct contact op met de organisatie en vraag om hun fraude-afdeling.

Wat dit zegt over hoe bedrijven met jouw data omgaan

Deze hack laat zien hoe kwetsbaar je bent als je gegevens bij grote bedrijven liggen. Je kunt zelf nog zo voorzichtig zijn met wat je online deelt, maar je hebt weinig invloed op hoe een provider intern met jouw data omgaat. Toch is dat precies waar het nu is misgegaan.

Bedrijven werken vaak met toeleveranciers voor hun systemen, zoals klantbeheersoftware. Als daar waarschuwingen worden gegeven over risico’s, is het belangrijk dat daar echt iets mee gebeurt. Dat kost geld en tijd, maar het alternatief zie je nu.

Als klant heb je meer rechten dan je misschien denkt. Je mag vragen welke gegevens een bedrijf van je heeft en waarom. Je mag ook vragen om gegevens te laten verwijderen als je ergens geen klant meer bent, al is dat in de praktijk soms een gedoe.

Een paar dingen waar je voortaan op kunt letten als je ergens klant wordt:

  • Kijk welke gegevens verplicht zijn en welke optioneel.
  • Vraag je af of het logisch is dat een bedrijf bijvoorbeeld een kopie van je ID wil bewaren.
  • Gebruik waar mogelijk een apart e-mailadres voor webwinkels en nieuwsbrieven.
  • Schrijf je uit bij diensten die je niet meer gebruikt en vraag om je gegevens te verwijderen.

Je kunt ook bewuster kiezen met welke partijen je in zee gaat. Lees niet elke privacyverklaring tot op de komma, maar kijk wel even hoe een bedrijf omgaat met beveiliging en datalekken. Een partij die daar open over communiceert en duidelijk uitlegt wat ze doen, is vaak serieuzer bezig dan een bedrijf dat alles wegmoffelt.

Hoe je jezelf op langere termijn beter kunt beschermen

Dit soort grote datalekken gaan niet meer weg. Je kunt er beter van uitgaan dat je gegevens al meerdere keren ergens zijn gelekt. De kunst is om te zorgen dat één lek niet meteen je hele digitale leven openzet.

Zie je digitale leven als een huis met meerdere sloten. Je wilt niet dat één sleutel alle deuren opent. Dat betekent: voor elke belangrijke dienst een ander wachtwoord, en waar het kan een extra slot in de vorm van twee-staps-verificatie.

Een paar praktische gewoontes die veel verschil maken:

  • Gebruik een wachtwoordmanager en maak daar een sterk hoofdwachtwoord voor.
  • Plan elk half jaar een “digitale schoonmaak” in je agenda.
  • Verwijder oude accounts bij webshops en diensten die je niet meer gebruikt.
  • Controleer regelmatig of je e-mailadres voorkomt in bekende datalekken via betrouwbare sites van toezichthouders of grote beveiligingspartijen.

Neem ook de tijd om de instellingen van je belangrijkste accounts door te lopen. Kijk bij je mail en sociale media welke apparaten er ingelogd zijn en log onbekende apparaten uit. Zet meldingen aan voor nieuwe inlogpogingen, zodat je snel ziet als iemand probeert binnen te komen.

En misschien het belangrijkste: praat erover met mensen om je heen. Vertel je partner, ouders of vrienden wat er aan de hand is en welke trucs criminelen gebruiken. Hoe meer mensen alert zijn, hoe kleiner de kans dat iemand in je omgeving in een neptelefoontje of nepmail trapt.

Wat je met je ID-bewijs, bankzaken en post moet doen

Omdat er miljoenen ID-nummers zijn gelekt, is het logisch dat je je afvraagt of je je paspoort of rijbewijs moet vervangen. In veel gevallen is dat niet direct nodig, maar er zijn wel situaties waarin het verstandig kan zijn. Het hangt af van wat er precies van jou bekend is en of er al misbruik lijkt te zijn.

Begin met je bankzaken. Controleer de komende tijd regelmatig je afschriften op onbekende betalingen of incasso’s. Zie je iets dat je niet herkent, neem dan meteen contact op met je bank en geef aan dat je mogelijk geraakt bent door het Odido-datalek.

Let ook goed op je post. Krijg je brieven over leningen, abonnementen of aankopen die jij niet hebt gedaan, trek dan direct aan de bel bij de afzender. Vraag om hun fraude- of beveiligingsafdeling en leg uit dat je gegevens mogelijk zijn misbruikt.

Over je ID-bewijs kun je het beste even overleggen met de gemeente of, als er echt misbruik is, met de politie. In sommige gevallen kun je een registratie laten plaatsen dat je document mogelijk misbruikt wordt. Dat helpt bij controles als iemand probeert iets op jouw naam te regelen.

Als je merkt dat er echt op jouw naam dingen worden afgesloten, is het verstandig om hulp in te schakelen. Denk aan:

  • De Fraudehelpdesk voor advies over vervolgstappen.
  • Je rechtsbijstandverzekering, als je die hebt.
  • De organisaties waar misbruik is gepleegd, zodat zij extra controles kunnen instellen.

Wacht daar niet te lang mee. Hoe eerder je erbij bent, hoe makkelijker het meestal is om dingen terug te draaien en extra schade te voorkomen.

Lees ook deze artikelen!