TechStacks

Bunq mailt gericht Odido-slachtoffers over fraude: handig of te ver?

5 mrt 2026 TechStacks Redactieteam

Bunq lijkt Odido-slachtoffers gericht te mailen over fraude

Na het datalek bij Odido stuurt bunq een deel van zijn klanten een waarschuwingsmail over phishing en fraude. Op zich logisch, maar er zit een lastige vraag achter: hoe weet bunq wie er klant is bij Odido of Ben. En hoe ver mag een bank gaan met het gebruiken van je betaalgegevens om je te waarschuwen.

Die vraag zorgt voor discussie, zeker omdat andere banken juist zeggen dat ze dit soort dingen niet doen op basis van betaalgegevens. Tegelijk wil je als klant ook dat je bank je waarschuwt als er iets misgaat bij een partij waar jij mee te maken hebt. Je zit dus een beetje klem tussen veiligheid en privacy.

Als je zelf klant bent bij bunq, Odido of Ben, is het goed om te snappen wat hier speelt. Dan kun je beter inschatten wat je van je bank mag verwachten. En je weet beter waar je zelf op moet letten als het gaat om phishing en datalekken.

Wat bunq precies naar Odido-klanten heeft gemaild

Bunq stuurde in februari al een eerste mail toen duidelijk werd dat Odido was gehackt en dat er klantgegevens waren buitgemaakt. In die eerste mail ging het vooral om de melding dat er een datalek was en dat ook IBAN-nummers op straat konden liggen. De toon was vooral informatief en gericht op bewustwording.

Later volgde een nieuwe, meer algemene waarschuwing. In die mail staat dat je bunq-account veilig is en dat er geen directe reden tot paniek is. De nadruk ligt op het risico dat criminelen de gelekte gegevens gebruiken om gerichte phishing uit te voeren, bijvoorbeeld door zich als bunq-medewerker voor te doen.

De mail bevat vooral standaardadvies. Denk aan: klik niet zomaar op links, geef nooit codes of wachtwoorden door en ga er altijd vanuit dat bunq je niet belt om je onder druk te zetten om betalingen te doen. Het gaat dus niet om een melding van een concrete poging tot fraude op jouw rekening, maar om een preventieve waarschuwing.

Opvallend is dat niet alle bunq-klanten deze mail hebben gekregen. Op het forum van Tweakers melden sommige mensen dat ze de waarschuwing wel ontvingen, terwijl anderen met een bunq-rekening niets hebben gezien. Dat voedt het idee dat bunq heel gericht een bepaalde groep uitkiest.

Hoe bunq lijkt te weten wie klant is bij Odido of Ben

Bunq zegt niet precies op basis waarvan de mails zijn verstuurd. Een woordvoerder houdt het bij een algemene uitleg: veiligheid staat voorop en bij mogelijk gevaar informeert bunq zijn klanten. Er wordt niet concreet ingegaan op de vraag hoe de selectie van ontvangers is gemaakt.

Toch lijkt het er sterk op dat bunq kan inschatten wie klant is bij Odido of Ben. De meest logische route is dat de bank kijkt naar betaalstromen: wie betaalt er periodiek aan Odido of Ben, of wie heeft dat recent gedaan. Daarmee kun je vrij goed raden wie geraakt kan zijn door het datalek.

Voor een bank is dat technisch niet ingewikkeld. Ze zien alle transacties op je rekening, inclusief de naam van de tegenpartij. Een simpele filter op betalingen naar Odido of Ben levert al snel een lijst met mogelijke klanten op, en vanuit daar is het een kleine stap om gericht een waarschuwing te sturen.

Dat verklaart ook waarom sommige bunq-klanten geen mail kregen. Als je al lang geen facturen van Odido meer betaalt, of je abonnement via een andere rekening loopt, val je mogelijk buiten de selectie. Het blijft deels gissen, maar veel andere realistische opties zijn er niet.

Voor jou betekent dit dat je bank dus meer uit je transacties kan halen dan alleen het uitvoeren van betalingen. Dat is handig voor bescherming, maar het voelt ook snel als meekijken in je leven. Zeker als niet duidelijk wordt uitgelegd hoe en waarom dat gebeurt.

Waarom dit schuurt met hoe andere banken het doen

Andere grote Nederlandse banken reageren anders op dit soort situaties. ING, ABN AMRO en Rabobank geven aan dat zij klanten niet benaderen op basis van hun transactiegegevens. Zij zeggen dit soort selecties niet te maken op basis van wie jij betaalt.

Dat betekent niet dat ze helemaal niets doen. Banken sturen vaak algemene waarschuwingen via hun app, website of nieuwsbrieven als er een grote phishinggolf is of als er een datalek speelt bij een bekende partij. Alleen koppelen ze die waarschuwingen dan niet zichtbaar aan jouw betaalgedrag.

Het verschil met bunq zit dus vooral in de gerichtheid. Waar andere banken kiezen voor brede communicatie, lijkt bunq een stap verder te gaan door specifiek die klanten te benaderen die waarschijnlijk klant zijn bij Odido of Ben. Dat voelt persoonlijker en nuttiger, maar het roept ook vragen op over hoe ver een bank mag gaan in het analyseren van je betaalgedrag.

Als klant zit je daardoor in een grijs gebied. Aan de ene kant wil je dat je bank actief meedenkt en snel waarschuwt als jij risico loopt. Aan de andere kant wil je niet dat elke betaling die je doet wordt gebruikt om je in allerlei profielen en lijsten te stoppen, zonder dat je precies weet hoe en waarom.

Wat er bij het datalek van Odido is gebeurd

De aanleiding voor de bunq-mails is het grote datalek bij Odido, dat in februari aan het licht kwam. Bij een cyberaanval zijn miljoenen klantgegevens gestolen, waaronder namen, contactgegevens en ook IBAN-nummers. Het gaat dus niet om een klein incident, maar om een flinke bak aan data.

Inmiddels zijn delen van die buitgemaakte data online verschenen. Dat maakt het risico groter, omdat criminelen de gegevens makkelijk kunnen downloaden en gebruiken voor gerichte oplichting. Met een combinatie van naam, telefoonnummer, e-mailadres en IBAN kun je heel geloofwaardige nepmails en neptelefoontjes in elkaar zetten.

Belangrijk om te weten: met een gestolen IBAN kunnen criminelen niet zomaar geld van je rekening halen. Daarvoor hebben ze meer nodig, zoals inloggegevens of bevestigingscodes. Maar een IBAN maakt een nepmail of neptelefoontje wel veel geloofwaardiger, omdat het lijkt alsof de afzender je echt kent.

Hoe meer details er over je bekend zijn, hoe kleiner de kans dat jij argwaan krijgt als iemand contact opneemt. Een mail met je naam, klantnummer en juiste IBAN voelt al snel vertrouwd. Dat is precies het gat waar oplichters nu induiken.

Daarom waarschuwen banken en providers nu extra voor phishing. Niet omdat hun systemen direct zijn overgenomen, maar omdat de kans op slimme, geloofwaardige oplichtingspogingen flink toeneemt. De technische hack is één ding, de menselijke factor daarna is minstens zo belangrijk.

Hoe je phishingmails en neptelefoontjes herkent

Of je nu een mail van bunq, Odido of een andere partij krijgt, een paar simpele checks helpen je om nep van echt te onderscheiden. Neem altijd even de tijd, ook als de mail dringend lijkt. Juist die druk is vaak een truc.

Let op deze punten bij mails:

  • Check het afzenderadres: klopt het domein echt, of zit er een rare toevoeging of spelfout in.
  • Kijk naar de aanhef: staat er alleen “geachte klant” terwijl je normaal met naam wordt aangesproken, dan is dat verdacht.
  • Let op taal en toon: veel taalfouten, rare zinnen of overdreven dreigende teksten zijn een rode vlag.
  • Controleer de links: ga met je muis op de link staan en kijk of de url logisch is, of typ zelf het adres in je browser.
  • Vraag jezelf af: verwachtte ik dit bericht, of komt het uit het niets.

Bij telefoontjes werkt het net zo. Een paar simpele regels helpen je al een heel eind:

  • Geef nooit codes, wachtwoorden of volledige inloggegevens door aan iemand die jou belt.
  • Word je onder druk gezet om direct te handelen, hang dan op.
  • Bel zelf terug naar het officiële nummer van de bank of provider dat je op de website of in de app vindt.
  • Laat je niet gek maken door het tonen van een bekende naam op je scherm, die is makkelijk te spoofen.

Twijfel je, dan kun je beter een keer te vaak ophangen of een mail negeren dan één keer te snel klikken. Een echte medewerker zal begrijpen dat je voorzichtig bent. Een oplichter haakt meestal af als je zelf de controle pakt.

Wat dit zegt over hoe banken met je data omgaan

Deze situatie laat zien hoe gevoelig betaaldata zijn. Banken zien precies waar je geld naartoe gaat, hoe vaak je betaalt en aan welke partijen. Een deel daarvan wil je juist dat ze actief gebruiken om je te beschermen, bijvoorbeeld bij verdachte transacties.

De grens tussen bescherming en profilering is alleen dun. Als een bank gaat bepalen welke mails jij krijgt op basis van wie je betaalt, voelt dat al snel als een stap verder dan alleen veiligheid. Zeker als je daar zelf nooit expliciet iets over hebt gehoord.

In Europa zijn er strenge regels voor hoe banken met je gegevens om mogen gaan. In de basis mogen ze je data gebruiken om hun diensten veilig en goed te laten werken en om fraude te bestrijden. Het selecteren van klanten voor een waarschuwing na een datalek bij een derde partij valt daar waarschijnlijk onder, maar de manier waarop je dat doet en hoe duidelijk je daarover bent, maakt veel uit.

Als klant heb je meer rechten dan je misschien denkt. Je mag bijvoorbeeld vragen welke gegevens er over jou worden opgeslagen en waarvoor die worden gebruikt. Ook mag je vragen hoe lang data bewaard blijven en of ze worden gebruikt voor marketing of alleen voor dienstverlening en veiligheid.

Het is niet gek om van je bank te verwachten dat ze helder uitleggen wat ze met transactiegegevens doen. Niet alleen in juridische teksten, maar in normale taal. Juist bij gevoelige onderwerpen als datalekken en gerichte waarschuwingen helpt openheid om vertrouwen te houden.

Wat je zelf nu het beste kunt doen als bunq- of Odido-klant

Ben je klant bij zowel bunq als Odido of Ben, dan is het verstandig om ervan uit te gaan dat je gegevens in elk geval deels zijn gelekt. Dat betekent niet dat er meteen geld van je rekening verdwijnt, maar wel dat je extra alert moet zijn op berichten die over je bank of je abonnement gaan. Zie het als een soort verhoogde staat van paraatheid.

Een paar praktische stappen helpen je om de schade te beperken:

  1. Check je accounts: log in bij bunq en Odido en controleer of je contactgegevens nog kloppen en of er geen onbekende wijzigingen zijn.
  2. Pas wachtwoorden aan: gebruik een uniek, sterk wachtwoord voor je mail en je belangrijkste accounts, en hergebruik die wachtwoorden niet.
  3. Zet tweestapsverificatie aan: als dat nog niet aanstaat, regel dat dan voor je mail, bank en andere belangrijke diensten.
  4. Loop je inbox door: kijk of je al verdachte mails hebt gekregen die lijken op bunq of Odido, en markeer die als spam of phishing.
  5. Controleer je afschriften: scan je transacties van de afgelopen weken op kleine, onbekende bedragen.

Vertrouw er niet blind op dat alles goed is als je geen waarschuwingsmail van bunq hebt gekregen. Zie zo’n mail vooral als een extra herinnering, niet als bewijs dat je wel of niet in de gelekte data zit. De realiteit is dat je dat vaak niet precies weet.

Houd je bankapp en je telefoonnummer goed in de gaten. Zie je iets geks, zoals inlogpogingen vanaf onbekende apparaten of onverwachte sms’jes met codes, neem dan direct contact op met je bank of provider. Wacht daar niet mee, ook niet als je denkt dat het misschien wel meevalt.

En misschien nog wel het belangrijkste: praat erover met mensen om je heen. Ouders, vrienden of collega’s zijn vaak minder met dit soort dingen bezig. Een korte uitleg over wat er is gebeurd bij Odido en wat voor mails en telefoontjes er kunnen komen, kan al voorkomen dat iemand in je omgeving in een phishingval trapt.

Hoe je je digitale basisveiligheid op orde brengt

Los van dit specifieke datalek is het handig om je digitale basis een keer goed op te ruimen. Zie het als een grote schoonmaak voor je online leven. Dat scheelt gedoe bij dit soort incidenten, nu en in de toekomst.

Begin bij je belangrijkste accounts: je mail, je bank en je telefoonaccount. Als een aanvaller daar binnenkomt, kan die vaak veel andere diensten overnemen. Zorg dat die drie dus zo goed mogelijk zijn afgeschermd.

Een simpel stappenplan helpt je op weg:

  1. Maak een lijstje van je belangrijkste accounts en noteer erbij of tweestapsverificatie al aanstaat.
  2. Verander de wachtwoorden van die accounts naar lange, unieke wachtwoorden.
  3. Gebruik een wachtwoordmanager als je al die wachtwoorden niet wilt onthouden.
  4. Controleer of er oude accounts zijn die je niet meer gebruikt en sluit die af waar mogelijk.
  5. Zet meldingen aan voor nieuwe inlogpogingen of nieuwe apparaten, als die optie er is.

Als je dit één keer goed doet, heb je daar lang plezier van. Je hoeft niet alles in één avond te regelen, pak het desnoods in stukjes. Elke stap die je zet, maakt het voor een aanvaller net weer wat lastiger.

Hoe je zelf grip houdt op je privacy bij je bank

De discussie rond bunq en de Odido-mails raakt ook aan een bredere vraag: hoeveel wil je dat je bank over je weet en gebruikt. Je kunt daar zelf meer invloed op uitoefenen dan je misschien denkt. Het begint met inzicht in wat er gebeurt.

Bij de meeste banken kun je in de app of via de website je privacy-instellingen bekijken. Daar zie je vaak of je data worden gebruikt voor bijvoorbeeld aanbiedingen, statistiek of gepersonaliseerde berichten. Het is de moeite waard om die pagina een keer rustig door te lopen.

Een paar dingen die je zelf kunt doen:

  • Kijk in de app van je bank welke vormen van gepersonaliseerde communicatie aanstaan en zet uit wat je niet nodig vindt.
  • Lees de uitleg bij termen als “profilering” en “persoonsgerichte aanbiedingen” en bepaal of je dat oké vindt.
  • Vraag bij twijfel aan de klantenservice hoe jouw bank omgaat met datalekken bij andere partijen en of ze dan gericht selecteren op basis van transacties.
  • Maak gebruik van je recht op inzage als je echt wilt weten welke data er over jou zijn opgeslagen.

Je hoeft geen privacy-expert te worden om hier iets mee te doen. Met een paar gerichte vragen en een kwartier in de instellingen kom je al een heel eind. Het gaat er vooral om dat jij bepaalt waar jij je prettig bij voelt, in plaats van dat alles automatisch voor je wordt ingevuld.

Lees ook deze artikelen!